Elle est devenue l’un des outils privilégiés des banquiers suisses. La base de données World-Check de l’agence Thomson Reuters pour «trouver les risques cachés» sert à obtenir des informations sur les clients et les prospects. «Nous l’utilisons quotidiennement», explique Aurélie Ayzac, responsable de la compliance de la banque Bordier & Cie à Genève. «C’est même un des outils dont nous ne pourrions plus nous passer.»

Comme toutes ses concurrentes: «Les banques l’utilisent, elle ou une autre base de données, comme celle de Factiva, parfois même plusieurs, de façon systématique à chaque ouverture de compte, puis comparent avec leur base de clients à intervalles réguliers, mais en général quotidiennement», explique Emmanuel Genequand, associé de PricewaterhouseCoopers (PwC) à Genève.

Or, ces listes, qui agrègent celles d’organismes internationaux (Seco, Patriot Act américain, FBI, ONU, etc.), sont depuis quelques jours sous le feu des critiques. Fin juin, plusieurs médias dont The Times, La Repubblica ou la Süddeutsche Zeitung, ont publié des enquêtes, après avoir analysé pendant cinq mois des données ayant fuité en 2014.

Comptes fermés

L’Echo, qui a participé à cette investigation, révèle que près de 16 000 citoyens belges figurent sur la liste de World-Check, pas toujours pour des raisons évidentes. Le quotidien donne une série d’exemples, comme celui de la fille illégitime du roi Albert II, classée «PEP» (pour personne politiquement exposée), qui s’est vu fermer un compte, alors qu’elle n’a pas de liens avec lui. Ou d’autres, classés comme ayant des liens avec le terrorisme, alors que, selon l’enquête de L’Echo, ils ne devraient pas y figurer. Thomson Reuters n'a pas répondu à nos sollicitations pour donner leur version de l'affaire.

Spécialistes de la compliance, Natacha Polli et George Zecchin, les deux associés de PAZ Consultants, rappellent que les établissements ne devraient pas considérer ces bases de données comme «parole d’évangile». Natacha Polli a «beaucoup travaillé avec World-Check», mais dit n’avoir «vu que très rarement des référencements totalement erronés. Parfois, des erreurs surviennent, comme des confusions de noms au sein d’une même famille de PEP ou, surtout, des mises à jour qui traînent, par exemple lorsqu’une personne soupçonnée est blanchie par la justice.» A l’inverse, souligne Aurélie Ayzac, «il nous est également arrivé de voir des individus disparaître de la base de données, alors qu’ils auraient dû continuer d’y figurer au vu du risque de réputation qu’ils poseraient pour un établissement bancaire». A cela s’ajoute le problème des définitions, comme celle du PEP, qui ne correspond pas nécessairement à celle de la loi suisse.

Millions de noms

Personne ne sait combien de noms sont listés, mais il est probable qu’il y en ait des «millions». Y figurent des PEP, des personnes touchées par des sanctions, accusées ou soupçonnées de terrorisme, blanchiment ou criminalité en tout genre. Aurélie Ayzac rappelle que «l’objectif premier d’une telle base de données est d’éviter que la banque puisse être utilisée par des personnes soupçonnées de terrorisme, de crime organisé, de blanchiment d’argent, de corruption, etc. Par ailleurs, les recherches effectuées dans World-Check permettent de démontrer que la banque remplit de manière adéquate ses obligations de diligence.»

La légende dit que ce sont des établissements suisses qui souhaitaient la création d’une telle ressource. Divers fournisseurs se sont ainsi développés, dont World-Check (à l’origine une société autrichienne), qui – d’une base de données modeste au départ – est devenu l’un des plus souvent mentionnés. C’est ensuite Factiva, une filiale de Dow Jones, qui aurait répondu à une demande d’UBS lorsque la question des PEP est devenue centrale pour les banques. Aux listes officielles se sont ensuite ajoutés les articles de presse. Certaines banques utilisent aussi LexisNexis.

Mauvaises surprises

Les banques peuvent avoir World-Check Online et/ou World-Check Data-File. La première solution permet d’interroger la base de données manuellement avec un accès online. Avec la deuxième, la banque télécharge en interne et de manière sécurisée (serveur dédié) le fichier de données World-Check pour un contrôle automatisé afin de le confronter avec sa base de données clients. Le fichier de données est mis à jour quotidiennement. Des alertes sont générées en cas de match positif ou si des changements de statut sont intervenus, explique Aurélie Ayzac.

Des découvertes qui n’engagent pas nécessairement des mesures radicales: «Il faut analyser la nature de l’alerte avec un regard critique, la provenance des informations et leur crédibilité parce qu’il s’agit parfois de sources peu fiables, blogs ou médias à la solde d’un pouvoir; des recherches complémentaires s’imposent dans tous les cas», poursuit la responsable de la compliance de Bordier & Cie. «Lors d’un match positif, nous faisons systématiquement appel au gérant du client concerné. Il n’est pas rare, précise-t-elle, que nous informions directement le client afin de lui donner la possibilité de fournir des explications.» Dans certains cas, la banque peut également faire appel à des sociétés d’intelligence externes afin de s’assurer de la crédibilité des informations récoltées.

Obligations de diligence

La question de la protection des données reste ouverte. Cité par L’Echo, le président de la Commission belge de protection de la vie privée, Willem Debeuckelaere, veut en discuter avec les banques, qui, selon lui, devraient informer les clients qu’ils ont recours à cette base de données, tandis que «World-Check doit s’assurer que les données sont correctes et à jour».

Pour Emmanuel Genequand, «la compilation des listes étant faite sur la base de sources publiques et leur usage restreint à des usagers justifiant d’un but légitime, voire s’acquittant d’une obligation réglementaire, tant l’établissement des listes que leur usage ou leur chargement sont en principe permissibles au regard de la protection des données». En outre, ajoute Natacha Polli, «il s’agit essentiellement de compilation d’informations publiquement disponibles, l’éventuelle obligation d’informer les personnes listées incombe en principe au fournisseur de base de données».