Conformité RGPD et architecture on-premise

Que vous soyez un cabinet de courtage, une agence d'assurance, un voyagiste ou toute autre entreprise soumise à une obligation de screening au titre des sanctions, vous restez seul responsable du traitement des données de vos clients. Sanqto vous fournit simplement l'outil que vous exploitez localement chez vous.

1. Aucun accord de sous-traitance (DPA) requis. Sanqto ne traitant pas les données de vos clients, il n'y a aucun fondement juridique pour la conclusion d'un accord de sous-traitance au sens de l'art. 28 RGPD. Votre service juridique a un élément mobile en moins.
2. Aucun transfert vers un pays tiers. L'art. 44 RGPD ne s'applique que si les données quittent l'EEE. Dans le modèle on-premise, les données ne quittent pas votre réseau – dans aucune direction. L'analyse d'impact des transferts (TIA), l'examen de l'arrêt Schrems II ou la mise en place de clauses contractuelles types (CCT) deviennent ainsi sans objet.
3. Aucun risque de « sous-traitance fantôme ». Lorsque vous utilisez des solutions SaaS cloud pour le screening au titre des sanctions, le fournisseur a généralement des sous-traitants ultérieurs (CDN, hyperscaler, fournisseur d'IA). Chacun d'eux élargit la surface d'attaque et doit faire l'objet d'une évaluation. Avec le modèle on-premise, cette cascade n'existe pas.

Le screening d'un client face à la liste de sanctions de l'UE est un traitement de données à caractère personnel. La base juridique est l'art. 6, par. 1, point c du RGPD – respect d'une obligation légale à laquelle le responsable du traitement est soumis. Sources concrètes de cette obligation :

1. Art. 2 du règlement (UE) n° 269/2014 du Conseil – interdiction de mettre à disposition des fonds ou des ressources économiques et de fournir des services aux personnes listées ;
2. Règlement (UE) n° 833/2014 du Conseil – sanctions sectorielles contre la Russie ;
3. Art. L562-1 et s. du Code monétaire et financier (CMF) – mise en œuvre des mesures de gel des avoirs et obligations associées ; sanctions pénales prévues à l'art. L574-3 CMF (5 ans d'emprisonnement et 750 000 € d'amende) en cas de méconnaissance des mesures de gel, et amende portée au quintuple pour les personnes morales (art. 131-38 du Code pénal, responsabilité pénale des personnes morales) ;
4. Dispositif LCB-FT (CMF art. L561-1 et s.) – dès lors que votre entreprise est assujettie au sens de l'art. L561-2 CMF (gestion des risques, mesures de vigilance à l'égard des personnes listées) ;
5. Directive (UE) 2024/1226 sur l'incrimination de la violation des mesures restrictives – transposée en droit français par la loi n° 2024-364 du 22 avril 2024 (DDADUE).

Conséquences pratiques importantes :

1. La vérification n'exige pas le consentement du client – l'art. 6, par. 1, point c du RGPD constitue une base juridique autonome ;
2. Vous remplissez l'obligation d'information de l'art. 13 RGPD envers votre client en indiquant dans votre politique de confidentialité la finalité « respect des obligations résultant du règlement (UE) 269/2014 et du CMF » ;
3. La durée de conservation des rapports est de 5 ans – elle résulte de l'art. L561-12 CMF (conservation des documents LCB-FT) et des obligations comptables et fiscales (10 ans pour les pièces comptables selon l'art. L123-22 du Code de commerce ; 6 ans pour les pièces relatives à la TVA selon l'art. L102 B LPF) ; cela constitue une justification au regard du principe de limitation de la conservation visé à l'art. 5, par. 1, point e du RGPD.

La communication entre le logiciel et l'infrastructure Sanqto est unidirectionnelle – du serveur Sanqto vers votre application.

1. DG Trésor, Tracfin, Douane (DGDDI) et CNIL. Les rapports générés par le logiciel comportent un horodatage, la version des listes de référence, un identifiant d'opérateur et un hash du fichier d'entrée. Le format répond aux attentes d'un contrôle administratif.
2. Archivage sur 5 ans. Le logiciel stocke les rapports en local – dans le répertoire que vous définissez. Sanqto recommande un dépôt sur un volume chiffré avec une sauvegarde externalisée.
3. Audit du côté de Sanqto. Les clients de la formule Enterprise peuvent demander l'accès au rapport des tests d'intrusion de l'infrastructure de distribution de Sanqto, aux certifications ISO 27001 (une fois obtenues) ainsi qu'au registre des sous-traitants ultérieurs de l'infrastructure traitant les données des personnes de contact des clients Sanqto.

Même si Sanqto simplifie l'essentiel des opérations de compliance, certains points relèvent de votre responsabilité :

1. complétez votre registre des activités de traitement (art. 30 RGPD) avec l'activité « vérification des clients face aux listes de sanctions de l'UE », base juridique art. 6, par. 1, point c du RGPD ;
2. complétez votre politique de confidentialité avec cette activité (finalité, base juridique, durée de conservation de 5 ans) ;
3. précisez dans votre procédure interne LCB-FT / sanctions qui traite, en interne, un résultat de type « correspondance » et comment vous effectuez en temps utile la déclaration de soupçon à Tracfin (art. L561-15 CMF) ;
4. sécurisez localement le matériel sur lequel le logiciel est installé (contrôle d'accès, chiffrement du disque, sauvegarde du répertoire des rapports) ;
5. attribuez les habilitations sur le logiciel au cercle le plus restreint possible de collaborateurs et tenez un journal des accès.

Besoin d'aide pour la mise en œuvre de ces points ? La formule Enterprise comprend un interlocuteur dédié et une formation d'équipe – réservez un appel de mise en route.

Contact pour les questions RGPD et architecture de sécurité : privacy@sanqto.com.

Les règles complètes de traitement des données par Sanqto sont décrites dans la politique de confidentialité.