Sanqto
Accueil Blog sanction screening et rgpd — concilier la vérification avec la protection des données personnelles
Articles

Sanction screening et RGPD — concilier la vérification avec la protection des données personnelles

Le sanction screening est un traitement de données personnelles — mais il dispose d'une base juridique dans le RGPD. Découvrez comment vérifier vos partenaires conformément aux règlements de l'UE.

Publié : · Équipe Sanqto · 18 min de lecture
sanction-screening rgpd protection-des-donnees verification-partenaire compliance sanctions-ue on-premise donnees-personnelles
Collaborateur d'une entreprise analysant le résultat d'une vérification de partenaire à l'écran — conformité du sanction screening avec le RGPD et la protection des données personnelles
Le sanction screening est un traitement de données personnelles dont la base juridique est l'obligation légale prévue à l'article 6 § 1 c) du RGPD.

État du droit au : 2026-05-20.

Vous êtes tenu de contrôler vos partenaires et vos clients face aux listes de sanctions de l’UE — mais vous entendez en même temps que vous ne pouvez pas simplement « fouiller dans les données d’autrui ». C’est une inquiétude fréquente chez les dirigeants d’entreprises hors secteur financier. La bonne nouvelle : ces deux obligations — celle relative aux sanctions et celle relative à la protection des données personnelles — ne s’opposent pas. Le Règlement général sur la protection des données (RGPD) prévoit expressément la situation dans laquelle vous traitez des données parce que la loi l’exige.

TL;DR

  • Le sanction screening est un traitement de données personnelles, mais il dispose d’une base juridique claire dans le RGPD — l’article 6 § 1 c) (obligation légale incombant au responsable du traitement).
  • L’obligation de screening découle des règlements de l’UE directement applicables en France, notamment le règlement (UE) n° 269/20141 et le règlement (UE) n° 833/20142 — vous n’avez pas besoin du consentement de la personne vérifiée.
  • Vous ne collectez que les données nécessaires à l’identification — c’est le principe de minimisation.
  • Vous avez une obligation d’information, mais avec des exceptions — lorsque l’information compromettrait la finalité du traitement.
  • Vous conservez les résultats de la vérification aussi longtemps que la loi ou un intérêt légitime l’exige — en principe, pas moins que la durée de la relation d’affaires.
  • Une solution on-premise fait que les données ne quittent pas votre infrastructure — ce qui simplifie la démonstration de conformité au RGPD.

Le sanction screening est-il un traitement de données personnelles ?

Oui — sans exception. Lorsque vous saisissez le nom, le prénom ou un numéro d’identification d’un partenaire ou d’un client dans un système qui les compare aux listes de sanctions, vous traitez des données personnelles au sens du RGPD. Cela se produit même lorsque vous le faites une seule fois, ponctuellement, avant la signature d’un contrat.

Le RGPD définit le traitement de façon large : toute opération effectuée sur des données personnelles — collecte, conservation, consultation, comparaison. Vérifier si Jean Dupont figure sur la liste consolidée de l’UE3 ou sur le registre national des gels d’avoirs de la DG Trésor4 satisfait à cette définition. Le fait que vous « ne fassiez que comparer » n’y change rien — il s’agit bien d’un traitement.

De nombreuses entreprises reportent pour cette raison la mise en œuvre du screening, craignant d’enfreindre le RGPD. C’est une erreur en sens inverse. L’absence de vérification vous expose à une responsabilité au titre des règlements de sanctions de l’UE — et les violations de leurs interdictions sont punies en France de 5 ans d’emprisonnement et de 750 000 € d’amende (montant multiplié par cinq pour les personnes morales, soit 3 750 000 €) au titre de l’article L574-3 du Code monétaire et financier5, la mise en œuvre relevant de la DG Trésor, de la Douane (DGDDI) et de Tracfin6.

La base juridique du traitement — l’obligation légale du responsable

Le RGPD n’interdit pas le traitement des données — il exige seulement que vous disposiez d’une base juridique pour le faire. Dans le cas du sanction screening, cette base est l’article 6 § 1 c) du RGPD : le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.

D’où vient cette obligation légale ? Directement des règlements du Conseil de l’Union européenne. Les règlements de l’UE s’appliquent directement dans chaque État membre — sans qu’une loi nationale distincte soit nécessaire pour transposer leur contenu7. Le règlement 269/20141 et le règlement 833/20142 imposent à tout acteur — y compris les entreprises non financières — l’interdiction de réaliser des transactions avec les personnes et entités visées par les sanctions. Pour respecter cette interdiction, vous devez vérifier. Pour vérifier, vous devez traiter des données.

En France, ces règlements de l’UE sont directement applicables ; leur répression dans l’ordre juridique national repose sur le Code monétaire et financier (art. L574-3) et le Code pénal8, qui prévoient notamment les sanctions pénales applicables et désignent les autorités d’exécution.

Conséquence pratique importante : vous n’avez pas besoin de demander au partenaire son consentement pour traiter ses données aux fins du screening. Le consentement (article 6 § 1 a) du RGPD) est volontaire et peut être retiré — or le screening doit pouvoir avoir lieu indépendamment du fait que le partenaire « veuille » être contrôlé. La base de l’article 6 § 1 c) élimine ce problème : vous avez une obligation légale, donc vous avez le droit de traiter.

Il est également utile de savoir que le règlement 833/2014 ne vise pas seulement les personnes physiques figurant sur la liste, mais aussi les entités dont une personne listée détient plus de 50 % des parts ou qu’elle contrôle9. La vérification des actionnaires constitue le traitement de données de personnes supplémentaires — et la même base (article 6 § 1 c) la couvre.

Le principe de minimisation des données dans le screening

La base juridique vous permet de traiter des données — mais elle ne vous donne pas le droit de collecter tout ce que vous pourriez collecter. Le RGPD impose de limiter l’étendue des données traitées à ce qui est nécessaire pour atteindre la finalité. Dans le cas du sanction screening, la finalité est précise : vérifier si une personne ou une entité figure sur les listes de sanctions.

Qu’est-ce que cela signifie en pratique ? Pour la vérification, vous avez besoin d’identifiants suffisants pour reconnaître l’entité de manière univoque :

  • Personnes physiques : prénom, nom, date de naissance, éventuellement pays de résidence ou nationalité.
  • Personnes morales : dénomination complète, pays du siège, numéro d’identification (SIREN/SIRET, numéro RCS ou équivalent étranger).

Vous ne collectez pas l’historique d’achats du partenaire, ses données de santé ni quoi que ce soit qui ne soit pas nécessaire à la vérification de l’identité. La minimisation des données n’est pas qu’une obligation — c’est aussi une simplification du processus. Moins vous conservez de données, plus la surface des problèmes potentiels de sécurité est réduite.

En pratique, un bon système de sanction screening impose lui-même la minimisation : il accepte des champs d’identification déterminés, les compare à la liste et renvoie un résultat. Il n’enregistre pas les données dont il n’a pas besoin.

L’obligation d’information à l’égard des partenaires et des clients

Le RGPD impose au responsable du traitement d’informer les personnes dont il traite les données — notamment sur la finalité et la base du traitement. C’est la règle générale. Y satisfaire dans le contexte du screening est plus simple qu’il n’y paraît.

Dans la plupart des situations commerciales, l’information sur le screening peut et doit figurer dans la clause d’information (mention d’information / politique de confidentialité) du contrat ou des conditions générales. Si le partenaire signe un contrat avec vous, vous ajoutez un paragraphe indiquant que les données d’identification sont traitées aux fins de vérification face aux listes de sanctions, sur le fondement des règlements de l’UE en vigueur. Cela suffit.

Il existe toutefois des situations dans lesquelles une information complète pourrait entrer en conflit avec la finalité du screening. Le RGPD prévoit une limitation de l’obligation d’information lorsque la communication de l’information serait susceptible de compromettre la réalisation de cette finalité — par exemple lorsqu’un partenaire est soupçonné de liens avec une entité sous sanctions et que le prévenir à l’avance pourrait entraîner des manœuvres délibérées de contournement. La décision de recourir à cette exception doit être documentée et motivée.

Règle pratique : décrivez le screening dans votre clause d’information générale (politique de confidentialité, modèle de contrat). Vous n’avez pas besoin d’adresser un courrier distinct à chaque partenaire avant chaque vérification.

Combien de temps conserver les résultats de la vérification

Le sanction screening n’est pas un acte ponctuel — le résultat de la vérification fait partie de votre documentation de conformité. La question se pose : combien de temps conserver les résultats ?

Aucune disposition relative aux sanctions ne fixe expressément la durée de conservation du registre des correspondances. On applique ici le principe général du RGPD : vous conservez les données pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Parallèlement, la loi vous oblige à disposer d’une documentation en cas de contrôle ou de procédure administrative.

En pratique, cela suppose au moins deux durées de référence :

  1. Pendant la durée de la relation d’affaires — durant la coopération active avec le partenaire, vous le vérifiez régulièrement et conservez les résultats comme preuve de votre diligence.
  2. Après la fin de la relation — vous conservez la documentation de la vérification pendant une durée tenant compte du risque de responsabilité : par analogie avec les délais de prescription des actions ou des procédures, qui en droit français s’établissent généralement à cinq ans. La réglementation LCB-FT française prévoit d’ailleurs des durées de conservation comparables pour les documents relatifs aux obligations de vigilance.

La décision concrète relative à la durée de conservation doit figurer dans votre politique de sanctions interne et être proportionnée à la taille de l’activité et au risque. Important : si vous tenez un registre des correspondances (MATCH ou POSSIBLE), ces enregistrements ont une valeur probante particulière — ne les supprimez pas sans une justification réfléchie. Les champs que doit contenir le registre et la durée de sa conservation sont décrits dans l’article Registre des correspondances de sanctions — comment le tenir.

Pour en savoir plus sur le processus de vérification d’un partenaire étape par étape, consultez notre guide.

Pourquoi l’on-premise est avantageux pour la conformité au RGPD

Lorsque vous utilisez un système de screening en mode cloud, les données personnelles de vos partenaires se retrouvent sur les serveurs du prestataire — c’est-à-dire chez un sous-traitant extérieur. Selon le RGPD, vous êtes alors tenu de conclure avec ce sous-traitant un accord de traitement (DPA), et si les serveurs du prestataire sont hors de l’EEE (par exemple aux États-Unis), s’y ajoutent les exigences relatives au transfert de données vers des pays tiers.

La solution on-premise inverse cette configuration. Le système de screening est installé dans votre infrastructure — sur vos serveurs ou ceux de votre centre de données. Les données personnelles des partenaires ne quittent pas votre organisation. Vous ne les transmettez à personne. Le seul lieu de leur traitement, c’est vous — en qualité de responsable du traitement.

Du point de vue du RGPD, c’est une simplification significative :

  • Pas besoin de conclure un accord DPA avec un prestataire de screening.
  • Aucun risque de transfert de données hors de l’EEE.
  • Démonstration plus aisée de la maîtrise des données lors d’un éventuel contrôle de l’autorité de contrôle.

Sanqto fonctionne en mode on-premise — le système est installé dans le réseau du client, et les données des partenaires et des clients restent exclusivement sous son contrôle. Le résultat de la vérification est renvoyé selon trois états : MATCH, POSSIBLE ou CLEAR, ce qui permet une classification rapide sans exporter les données personnelles vers l’extérieur.

Si vous exercez dans le secteur de l’assurance ou de l’immobilier — des secteurs particulièrement sensibles à la protection des données des clients — l’architecture on-premise est une solution à considérer. Lisez-en davantage sur le sanction screening pour les compagnies d’assurance et les agences immobilières.

Faux positif et données personnelles — prudence lors de la classification

Un faux positif est une situation dans laquelle le système renvoie un résultat MATCH ou POSSIBLE pour une personne qui n’est pas visée par les sanctions — par exemple parce qu’elle porte les mêmes prénom et nom qu’une personne figurant sur la liste. C’est techniquement inévitable dans tout système de screening qui fonctionne par correspondance textuelle.

Le problème tient à ce qu’une classification erronée conduit au traitement des données d’une personne non liée aux sanctions dans un contexte susceptible de lui nuire — refus de conclure un contrat, blocage d’un paiement, mention dans un registre. Cela fait naître un risque d’atteinte aux droits que cette personne tire du RGPD.

Quelques règles pour limiter ce risque :

Ne prenez pas de décisions automatisées fondées exclusivement sur l’algorithme. Le RGPD limite expressément les décisions reposant uniquement sur un traitement automatisé lorsque la décision produit des effets significatifs. Un résultat POSSIBLE ou MATCH doit être vérifié par un humain — un collaborateur conformité ou la personne responsable de ce processus. La manière de trancher méthodiquement ces cas est décrite dans l’article sur les faux positifs dans le sanction screening.

Documentez la décision. Lorsque, après analyse, vous établissez qu’une correspondance est un faux positif, consignez cette conclusion dans le registre. C’est votre preuve de diligence — tant à l’égard de la DG Trésor et de la Douane en cas de contrôle relatif aux sanctions, qu’à l’égard de la CNIL en cas de plainte d’une personne dont vous avez traité les données.

Ne conservez les données issues d’un faux positif que le temps nécessaire. Si vous constatez qu’un résultat POSSIBLE est une erreur et que la relation d’affaires avec le partenaire se poursuit normalement, envisagez de supprimer ou d’anonymiser l’enregistrement après la clôture du processus d’élucidation — sauf si la réglementation impose de conserver la documentation pendant une durée déterminée.

Découvrez-en davantage sur le fonctionnement du processus de sanction screening et sur la manière de classer les résultats de la vérification.

FAQ

Dois-je obtenir le consentement de mon partenaire pour le contrôler face à une liste de sanctions ?

Non. La base du traitement des données dans le sanction screening est l’obligation légale (article 6 § 1 c) du RGPD), et non le consentement. Le consentement est volontaire et révocable — il ne convient pas comme base d’une vérification que vous devez réaliser indépendamment de la volonté du partenaire. Les règlements de l’UE — comme le 269/20141 ou le 833/20142 — s’imposent à vous directement, sans choix de votre part sur ce point.

Que faut-il inscrire dans la clause d’information sur le screening ?

Indiquez la finalité du traitement (vérification face aux listes de sanctions), la base juridique (respect d’une obligation légale découlant des règlements de l’UE), les catégories de données traitées (données d’identification : prénom, nom, dénomination de l’entreprise, numéros d’identification) ainsi que la durée de conservation. Vous n’avez pas besoin de citer nommément chaque liste de sanctions — une formule générale relative aux « listes de sanctions applicables en vertu du droit de l’UE et du droit national » suffit.

Que faire si un partenaire demande l’effacement de ses données après la fin de la relation ?

Vous avez le droit de refuser — ou de différer la satisfaction de la demande — si la réglementation vous impose de conserver la documentation pendant une durée déterminée. Invoquez l’obligation légale et indiquez la durée de conservation estimée. Si la demande d’effacement intervient pendant une relation d’affaires active, alors que le screening reste nécessaire, vous pouvez refuser en expliquant que le traitement des données est nécessaire au respect d’une obligation légale.

Dois-je déclarer le traitement des données à la CNIL au titre du screening ?

Dans la plupart des cas, non — l’obligation générale de déclaration préalable des traitements auprès de l’autorité de contrôle a été supprimée avec l’entrée en application du RGPD. Vous devez en revanche tenir votre propre registre des activités de traitement et y faire figurer le sanction screening comme une activité de traitement distincte. Selon le risque que le traitement présente pour les droits des personnes, une analyse d’impact relative à la protection des données (AIPD) peut en outre être requise.

L’on-premise me dispense-t-il des obligations RGPD à l’égard des salariés qui utilisent le système ?

Non. Les données dans un système on-premise sont toujours traitées par vous — vous êtes le responsable du traitement. Vous avez donc toutes les obligations du responsable : obligation d’information, mesures techniques et organisationnelles appropriées, réponse aux demandes d’exercice des droits des personnes. L’on-premise élimine uniquement la nécessité de confier les données à un prestataire de logiciels extérieur.

Et si mon partenaire est une entreprise étrangère ? Le RGPD s’applique-t-il toujours ?

Oui, si le siège ou le lieu de résidence de l’entité traitée se trouve dans l’EEE, ou si votre entreprise est établie en France. Le RGPD a un champ d’application territorial large. Parallèlement, l’obligation relative aux sanctions — découlant des règlements de l’UE, directement applicables, et de leur répression nationale par le Code monétaire et financier et le Code pénal8 — vise toute transaction réalisée par un acteur exerçant en France, quelle que soit la nationalité de l’autre partie.

Que faire concrètement — liste d’étapes

  1. Recensez les activités de traitement. Ajoutez à votre registre des activités de traitement une nouvelle entrée : « Vérification des partenaires et des clients face aux listes de sanctions de l’UE et nationales ». Indiquez la finalité, la base juridique (article 6 § 1 c) du RGPD), l’étendue des données et la durée de conservation envisagée.

  2. Mettez à jour la clause d’information. Ajoutez à votre modèle de contrat, à vos conditions générales ou à votre politique de confidentialité un paragraphe sur le traitement des données d’identification aux fins de sanction screening. Cela suffit dans la grande majorité des cas.

  3. Limitez l’étendue des données collectées. Vérifiez quelles données votre système utilise réellement pour la vérification. Supprimez les champs que vous collectez sans les utiliser dans le processus de screening.

  4. Mettez en place une procédure de traitement des faux positifs. Désignez la personne responsable de la vérification manuelle des résultats MATCH et POSSIBLE. Établissez un modèle de note explicative et intégrez-le au registre des correspondances.

  5. Définissez une politique de conservation des résultats. Décidez et documentez la durée de conservation des résultats de vérification — séparément pour les résultats CLEAR (durée plus courte) et pour les MATCH et POSSIBLE (durée plus longue, en tant que documentation probante).

  6. Évaluez l’architecture du système. Si vous utilisez un outil cloud, assurez-vous de disposer d’un accord DPA à jour avec le prestataire et vérifiez l’emplacement des serveurs. Si les données sont traitées hors de l’EEE — évaluez le risque et les mécanismes de transfert.

  7. Articulez la politique de sanctions avec la politique de confidentialité. Les deux politiques doivent être cohérentes : les procédures de sanctions décrivent comment vous vérifiez, la politique de confidentialité décrit pourquoi et sur quelle base vous traitez les données lors de cette vérification.

Comment Sanqto peut vous aider

Sanqto est un logiciel de sanction screening installé directement dans votre infrastructure — le modèle on-premise signifie que les données des partenaires et des clients ne quittent pas le réseau de votre entreprise. Vous éliminez ainsi la nécessité de confier les données à un sous-traitant extérieur. Le système renvoie un résultat selon trois états — MATCH, POSSIBLE ou CLEAR — ce qui vous donne une base claire pour décider et pour documenter dans le registre des correspondances. Le pack de mise en œuvre comprend des modèles de documents prêts à l’emploi : politique de sanctions, registre des correspondances et procédure de traitement des faux positifs — prêts à être adaptés à votre profil d’activité. Lisez ce qu’est l’obligation de sanction screening et qui elle concerne avant de choisir un outil.

Base juridique

  • Règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendance de l’Ukraine — CELEX 32014R0269
  • Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine — CELEX 32014R0833
  • Code monétaire et financier, article L574-3 (sanctions pénales en cas de violation des mesures restrictives) combiné à l’article 131-38 du Code pénal (amende ×5 pour les personnes morales) — legifrance.gouv.fr
  • Projet de loi n° 2544 (déposé le 3 mars 2026) — transposition en cours de la directive (UE) 2024/1226 en France — assemblee-nationale.fr
  • Règlement (CE) n° 765/2006 du Conseil du 18 mai 2006 concernant des mesures restrictives à l’égard de la Biélorussie — CELEX 32006R0765
  • Liste consolidée de l’UE (FSD) — publiée par la Commission européenne (DG FISMA) — finance.ec.europa.eu
  • Registre national des gels d’avoirs de la DG Trésor — gels-avoirs.dgtresor.gouv.fr
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD / GDPR) — CELEX 32016R0679

Notes

Information, pas de conseil juridique. Cet article est fourni uniquement à titre informatif et ne constitue pas un conseil juridique. L’analyse juridique d’une situation individuelle doit être effectuée avec un avocat compétent en droit des sanctions internationales et en droit du commerce extérieur. État du droit : 20 mai 2026.

  1. Règlement (UE) n° 269/2014 du Conseil du 17 mars 2014 concernant des mesures restrictives eu égard aux actions compromettant ou menaçant l’intégrité territoriale, la souveraineté et l’indépendance de l’Ukraine — EUR-Lex CELEX:32014R0269 ↩︎ ↩︎ ↩︎

  2. Règlement (UE) n° 833/2014 du Conseil du 31 juillet 2014 concernant des mesures restrictives eu égard aux actions de la Russie déstabilisant la situation en Ukraine — EUR-Lex CELEX:32014R0833; DG FISMA : finance.ec.europa.eu ↩︎ ↩︎ ↩︎

  3. Liste consolidée de l’UE tenue par la Commission européenne (DG FISMA — direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) — finance.ec.europa.eu/eu-and-world/sanctions-restrictive-measures_en ↩︎

  4. En France, il n’existe pas de liste de sanctions nationale autonome — les listes applicables sont les listes consolidées de l’UE ; la DG Trésor tient cependant le Registre national des personnes et entités faisant l’objet d’une mesure de gel — gels-avoirs.dgtresor.gouv.fr, état au 23.05.2026 ↩︎

  5. Art. L574-3 du Code monétaire et financier (5 ans d’emprisonnement et 750 000 € d’amende) combiné à l’art. 131-38 du Code pénal (amende ×5 pour les personnes morales, soit 3 750 000 €) — Code monétaire et financier — art. L574-3, art. 131-38 Code pénal, état au 23.05.2026 ↩︎

  6. CMF (art. L574-3) et Code pénal — autorités d’exécution en France : DG Trésor (Direction générale du Trésor), Douane (DGDDI), Tracfin — DG Trésor, douane.gouv.fr, état au 23.05.2026 ↩︎

  7. Les règlements de l’UE sont directement applicables dans chaque État membre, sans transposition en droit national — EUR-Lex : « A regulation is binding in its entirety and directly applicable in all Member States. » — eur-lex.europa.eu ↩︎

  8. Code monétaire et financier (art. L574-3) et Code pénal — cadre national de répression des sanctions de l’UE en France (les règlements de l’UE sont directement applicables) — legifrance.gouv.fr, état au 23.05.2026 ↩︎ ↩︎

  9. Règle de propriété et de contrôle (ownership/control rule) — une entité est considérée comme « détenue » par une personne sous sanctions lorsque celle-ci possède plus de 50 % de ses droits de propriété — FAQ DG FISMA : finance.ec.europa.eu ↩︎

Tous les articles
Voir la démo