Qu’est-ce que World Check ?

Comme dans les scénarios les plus dystopiques décrits dans les livres de science-fiction, souvenez-vous du 1984 d’Orwell, il existe des bases de données où sont stockées toutes les informations concernant une grande partie de la population, et le plus impressionnant, c’est que beaucoup de leurs membres ne savent même pas qu’ils en font partie.

World-Check est la plus grande base de données au monde. Elle contient des informations personnelles sur plus de 2 millions de personnes, qu’elles soient physiques ou morales. Mais comment cela est-il possible ?

World-Check est une base de données de personnes politiquement exposées (PPE), de personnes et d’organisations à haut risque, utilisée dans le monde entier pour aider à identifier et à gérer les risques financiers, réglementaires et dans la gestion de la e-réputation.

World-Check est un service créé au début des années 2000 pour répondre au besoin des banques de disposer d’une base de données permettant de contrôler et de prévenir les risques financiers liés à leurs clients. La création de la base de données a impliqué le créateur David Leppan et le développeur informatique Nikolas Kimla. En peu de temps, World-Check est devenu indispensable pour les banques et les institutions financières en particulier, si bien qu’en 2011, il a été racheté par Thomson Reuters, une société leader dans le domaine de l’information financière et de la gestion des risques.

Grâce à l’acquisition de World-Check, Thomson Reuters est devenu le premier fournisseur de due diligence, qui est l’activité d’investigation et d’enquête sur les données et les personnes sur le terrain dans le cadre d’une négociation. Ce type d’activité se divise en plusieurs catégories :

• KYC (know your customer) processus de reconnaissance utilisé par les entreprises et les banques pour vérifier l’identité de leurs clients et évaluer les risques potentiels ou les intentions illégales en traitant avec eux.
• PEP (Politically Exposed Person) recherche d’informations sur les personnes susceptibles d’être exposées à la criminalité financière.

En 2018, Thomson Reuters a conclu un accord avec le groupe Blacksone, et l’ensemble de la division de screening et de due diligence kyc a été transféré à Refinitiv.

Si, au départ, la base de données ne contenait que des noms de criminels potentiels ou de personnes faisant l’objet d’une surveillance spéciale, elle s’est étoffée au fil du temps et contient aujourd’hui des données sur plus de deux millions de personnes.

La base de données est constituée de fiches contenant des données collectées par des experts. Des analystes et des chercheurs spécialisés collectent des informations à partir de sources pas toujours fiables, en suivant des lignes directrices spécifiques. Les opérateurs travaillent dans le monde entier et parviennent à ajouter 60 000 profils par mois à la base de données.

L’idée de créer la base de données est née d’un scandale qui a alerté les banques suisses. À la fin des années 1990, le général et dictateur nigérian Sami Abacha a transféré sur des comptes privés en Suisse des millions de dollars provenant du commerce du pétrole. À sa mort, la Suisse a restitué au Nigeria un total de plus de 700 millions de dollars, soit la somme la plus élevée jamais obtenue dans le cadre d’une affaire de recouvrement d’actifs.

Ce scandale a mis en lumière la nécessité pour les banques de disposer d’un système de prévention des risques financiers, une base de données qui recueillait toutes les informations sur les personnes susceptibles d’être des criminels financiers potentiels. C’est pour répondre à ce besoin qu’est né World-Check.

Parce que les informations proviennent directement de la mer de l’Internet, elles sont récupérées en accédant à ce que l’on appelle les données Open Source (informations personnelles provenant de sources en ligne ouvertes). Les données collectées sont profilées en fonction de la catégorie de délit associée.

Enfin, les personnes incluses dans les archives ne reçoivent aucune communication, c’est pourquoi elles ne peuvent pas demander leur suppression, contester la véracité de leurs données ou exiger leur mise à jour. Chacun d’entre vous, en lisant cet article, a peut-être été fiché par World-Check sans en avoir la moindre idée. Si vous avez un doute sur votre présence dans la base de donnée n’hésitez pas à nous contacter pour gérer votre e-reputation au plus vite.

Le fonctionnement de la base de données World Check est assez simple. Le système collecte des données et des informations provenant de sources qu’il considère fiables en ce qui concerne les risques financiers associés aux entités et individus. Ensuite, il trie ces entités et individus en différents profils, selon les types de crimes associés, et les place sur des listes notoires.

Malgré l’apparente perfection de ce système, il y a un défaut fondamental : les sources considérées comme faisant autorité sont souvent de mauvaise qualité.

Conformément à la loi sur la protection des données de 2018 et à d’autres cadres juridiques, World Check est tenu d’informer les personnes si elles figurent dans sa base de données. Cependant, il ne s’agit pas d’une obligation automatique – le fait est que c’est à vous en tant qu’individu de demander cette information. L’accès à votre rapport World Check complet n’est toutefois pas garanti.

Nous avons vu que les principales sources sont des sources ouvertes, donc par extension l’ensemble du World Wide Web, mais plus spécifiquement les données sont extraites de 100 000 sources publiques dans 240 pays du monde entier dans 65 langues différentes. Les principales sources sont les suivantes

• les listes mondiales de conformité et de sanctions
• les sites web des autorités judiciaires, réglementaires ou autres ;
• les départements de sécurité publique ;
• les médias et autres publications jugées fiables ;
• les sources d’information rendues publiques par la personne concernée (site web personnel, médias sociaux, blogs ou forums ou autres sites contenant des informations visibles)
• les sites web et publications politiques contenant des données et des informations sur les parlementaires et les personnalités ;
• les personnes politiquement exposées (pep), leurs proches collaborateurs et les membres de leur famille ;
• les organes de l’État et les entreprises publiques ;
• les sites web gouvernementaux ;
• les médias nationaux et internationaux.

Une fois les informations acquises, des listes internationales contenant les dossiers des individus sont créées. Le choix des sujets se fait de manière indifférenciée, bien que les principales personnes recherchées sont celles qui peuvent avoir des liens avec la criminalité. A l’intérieur de la fiche, des données telles que

• Catégorie et sous-catégorie (définies en fonction du délit commis) ;
• Date de création du profil ;
• Numéro de sécurité sociale ;
• le nom et le prénom ;
• Alias, alias et alias alternatifs ;
• Date de naissance ;
• Certificat de décès ;
• Informations complémentaires ;
• Nombre de documents (carte d’identité, passeport) ;
• Numéros d’entreprise ;
• Références de la source ;
• Citoyenneté.

Cet outil permet de vérifier la fiabilité et la solvabilité d’éventuels clients, mais aussi de comprendre si la personne en question peut être liée au terrorisme, au trafic de drogue, au blanchiment d’argent, au trafic d’armes ou à la traite des êtres humains. Ainsi, en accédant aux données contenues dans les archives, il est possible de créer un rapport approfondi sur les activités licites ou illicites d’une personne ; en outre, il est également possible de reconstituer les liens éventuels avec d’autres personnes considérées comme des criminels potentiels.

Listes de contrôle mondiales et protection de la vie privée

Cet outil peut être utile, voire très utile, pour déterminer les risques financiers et prédire les risques dans un cadre commercial, s’il est utilisé conformément à la loi. 

Le problème réside dans l’utilisation incorrecte de cette plate-forme, en particulier dans la collecte d’informations auprès de sources invérifiables et dans l’utilisation de listes qui ne respectent pas les lois actuelles en matière de protection de la vie privée. 

Il semble donc évident que la méthodologie d’action de ce système est en contradiction flagrante avec les règles relatives à la protection de la vie privée, en particulier l’article 6 du GDPR, qui définit la licéité du traitement des données :

Le traitement n’est licite que si et dans la mesure où au moins une des conditions suivantes est remplie : (C40)

(a) la personne concernée a donné son consentement au traitement de ses données à caractère personnel pour une ou plusieurs finalités déterminées ; (C42, C43)

(b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; (C44)

(c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ; (C45)

(d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; (C46)

(e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; (C45, C46)

(f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à condition que ne prévalent pas les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (C47-C50)

Le point f) du premier paragraphe ne s’applique pas au traitement des données par les autorités publiques dans l’exercice de leurs fonctions.

Un autre point discutable est que les personnes inscrites sur les listes de World-Check ne savent pas qu’elles s’y trouvent et ne peuvent pas avoir la possibilité de se désinscrire, ce qui leur permettrait de faire usage du droit à l’oubli.

L’activité est considérée comme légale parce qu’elle n’a pas lieu sur le territoire français et qu’elle n’est pas menée par une société française. En effet, World-Check opère sur le territoire anglais, la société étant basée en Grande-Bretagne, où la loi sur la vie privée et l’utilisation des données est différente de la nôtre.

Dans ce cas, on se cache derrière la diversité des législations pour échapper aux obligations des lois nationales. Ayant localisé la base de données à l’étranger, menant des négociations dans un pays non membre de l’UE, on n’est pas soumis à la législation européenne, de sorte que les actions et les négociations de l’entreprise sont légales.

Selon la loi européenne sur la protection de la vie privée, aujourd’hui, pour utiliser les données d’une personne, vous devez obtenir son consentement. Non seulement pour les utiliser, mais aussi pour collecter les données, comme le prévoit le GDPR. 

Par conséquent, nous avons le droit de demander à être retirés des listes de World-Check et les réglementations européennes et britanniques nous permettent de le faire. À ce stade, tout ce qu’un citoyen doit faire pour faire valoir ses droits est de savoir s’il figure dans la base de données.

La présence sur les listes pourrait empêcher l’obtention de financements, d’hypothèques, de polices d’assurance… et nous pourrions ne l’apprendre qu’au moment du non.

Le mode de fonctionnement du World-Check de Refinitv viole de nombreux droits que l’on peut considérer comme fondamentaux pour le citoyen. Comme nous l’avons vu, la loi anglaise sur la protection de la vie privée, bien qu’elle ait de nombreux points communs, n’est pas celle que nous connaissons. Les droits violés par la base de données et son mode de collecte des données sont les suivants :

(a) le droit à l’oubli, c’est-à-dire le droit que chacun a d’être oublié sur le net. Nous avons également abordé ce sujet dans notre guide, où vous pouvez en apprendre davantage sur tous les aspects de ce droit.

1. b) le droit à l’identité personnelle, prévu à l’article 595 du code pénal : il s’agit du droit de ne pas être diffamé, c’est-à-dire que les informations que l’on trouve en ligne à notre sujet soient vraies et à jour. La protection n’est que partielle, car la règle ne s’applique que si l’information porte atteinte à l’honneur du sujet.

1. c) les droits prévus par le règlement sur la protection de la vie privée (décret législatif n° 196 du 30 juin 2003), c’est-à-dire le droit à l’effacement des données personnelles et le droit d’accès aux bases de données.

1. d) le stockage généralisé et indiscriminé des données personnelles. Selon l’arrêt du 6 octobre 2020, C-245/19 et C-246/19, la Cour de justice de l’Union européenne a établi l’interdiction de la conservation indiscriminée de données à caractère personnel par les fournisseurs de services de communications électroniques.

Pour vérifier si notre nom figure dans la base de données, il suffit d’interroger les archives. Cette opération peut également être effectuée par l’un de nos avocats munis d’une procuration.

Notre équipe Ereputation Paris dispose d’une équipe juridique expérimentée, nous pouvons également vous aider à vérifier votre présence dans World-Check.

En cas de réponse positive, la véracité des informations doit être vérifiée. Plusieurs options s’offrent alors à vous :

• demander la rectification des données, en cas d’informations erronées ;
• demander la suppression de la carte de la liste.

Cette deuxième option semble difficile à mettre en œuvre. Par conséquent, une autre voie possible consiste à supprimer les données en amont, même si cela ne supprimera pas les informations que World-Check possède déjà, car cela supprimera les informations qui sont en ligne. Une autre option consiste à invoquer la suppression conformément à l’article 17 du RGPD relatif au droit à l’oubli, pour lequel il est préférable de faire appel à des juristes expérimentés.