Blanchiment : se préparer au contrôle d’une autorité de tutelle

La montée en puissance des obligations en matière de lutte antiblanchiment a débuté dès 1987 [1] et n’a cessé depuis lors de se renforcer (voir la figure 1). D’une obligation propre au secteur financier portant notamment sur l’identification du client en cas de blanchiment provenant du trafic de stupéfiants [2] , les professionnels assujettis sont désormais passibles de sanctions, dès lors que leur dispositif LAB-FT interne ne répond pas à l’ensemble des obligations [3] (portant sur l’organisation, la vigilance, le dispositif d’alerte, la procédure de déclaration…).

Passer d’une législation d’exception à une législation de droit commun entraîne, pour la quinzaine de secteurs professionnels soumis à ces obligations, un casse-tête non négligeable leur imposant, au risque de schizophrénie, de jongler entre opérationnalité du dispositif, perspectives commerciales et besoin de mise en conformité, sans oublier pour certains, le secret professionnel intangible et essentiel dans un État de droit, notamment celui des avocats.

Si la France a tardé à transposer les obligations minimales en matière LAB-FT, il n’empêche que tout établissement bancaire peut se trouver confronté depuis le 4 septembre 2010 à un contrôle de l’Autorité de contrôle prudentiel (ACP) en matière LAB-FT. Le cas échéant, le professionnel doit avant tout conserver son sang-froid et adopter la « zen attitude ». Ce comportement n’est possible qu’à deux conditions préalables : savoir ce qu’attend de lui son autorité de contrôle et avoir noué des liens réguliers et transparents avec cette autorité et Tracfin.

Adopter la « zen attitude »

Si un leitmotiv devait gouverner la mise en œuvre du dispositif LAB et la préparation de la venue de l’autorité de contrôle, ce serait la nécessité d’adopter une posture « no stress » en vue du contrôle externe. Sans négliger l’importance du contrôle, il faut le voir plutôt comme un vecteur d’amélioration et de perfectionnement, qu’à travers le prisme de la coercition et de la punition.

La charte de contrôle élaborée par l’ACP dans le secteur assurantiel dispose clairement que le contrôle est «  préventif [4] ». Cependant, le silence est maintenu à propos de ce même volet préventif dans le cadre d’un contrôle, dans le secteur de la banque, des services de paiements et des services d’investissements. Au regard du préambule de ladite charte, il convient d’en déduire que l’ACP cherche avant tout à mettre en place une relation de confiance et de sérénité entre les contrôleurs et les contrôlés. La transparence sur les droits et devoirs de chacun, sur les règles procédurales ainsi que sur les attentes comportementales renforce l’idée que l’objectif du contrôle n’est pas de sanctionner à tout prix, mais bien de rentrer dans le cadre des missions confiées à l’ACP, à savoir :

• examiner les demandes d’agrément, d’autorisations ou de dérogations individuelles des entreprises […] et prendre les décisions prévues par les dispositions législatives et réglementaires applicables aux personnes soumises à son contrôle ;
• exercer une surveillance permanente de leur situation financière et de leurs conditions d’exploitation ;
• veiller au respect des règles destinées à assurer la protection de leur clientèle [5] .

Connaître son autorité de régulation et se rassurer

Quelle que soit la nature des relations entretenues par les établissements avec leur autorité de régulation, celle-ci détient un pouvoir de police administrative et de sanctions [6] . Ces dernières sont loin d’être anodines puisqu’elles vont de l’avertissement à la radiation de l’établissement de la liste des personnes agréées [7] , accompagnées ou non d’une publication de la décision et d’une sanction pécuniaire conséquente.

Ainsi, certes l’autorité de tutelle dispose d’un droit de sanction, qu’il convient de ne pas négliger, mais la conduite de relations cordiales avec l’ACP (et même Tracfin) aura un impact évidemment bénéfique sur la tenue et les résultats du contrôle. Par ailleurs, l’autorité de contrôle est amenée à collaborer étroitement avec Tracfin, que ce soit par le biais d’une coopération institutionnelle quasi normative [8] , mais aussi dans le cadre de son obligation de saisine directe de Tracfin [9] et de son droit de bénéficier d’informations fournies par Tracfin et « utiles à l’accomplissement de sa mission [10] ». Dans l’hypothèse, par exemple, de télétransmissions fréquentes de déclarations de soupçon lacunaires, dont le fondement est erroné ou encore pour lesquelles la vacuité du dispositif est flagrante, alors potentiellement, l’ACP pourra être tenue informée de la faiblesse du dispositif en ce qui concerne les déclarations de soupçon (DS), la formation des personnels, le système de détection des opérations suspectes…

Est-il nécessaire de rappeler que l’objectif de la réglementation LAB est de permettre l’incrimination des délinquants et criminels coupables de fraude fiscale, contrefaçon ou corruption, mais aussi trafic de drogue, d’êtres humains ou d’organes. Ne serait-ce que pour cette raison, il convient d’œuvrer dans le sens des autorités publiques et de leur permettre de mener à bien leur mission. Aussi, est-il opportun de les solliciter chaque fois qu’un doute sur l’interprétation de la réglementation nécessite un œil d’expert : lorsque des difficultés opérationnelles sont rencontrées, en cas d’interrogation sur une opération suspecte…

Par ailleurs, les sanctions encourues et leurs conséquences ou dégâts collatéraux (atteinte à la réputation, pertes financières, ralentissements systémiques…) doivent être gardées à l’esprit tout au long du déploiement et de la mise en œuvre du dispositif LAB-FT.

Cependant, il faut aussi envisager les organismes de contrôle comme des conseillers, des accompagnateurs opérationnels et non uniquement en tant qu’inspecteurs chargés de sanctionner, sous un angle principalement coercitif.

L’idée ici n’est pas de retracer l’ensemble des obligations LAB-FT à respecter (voir la figure 2). Néanmoins, certains principes directeurs doivent être rappelés pour assurer un passage réussi devant les inspecteurs : la notion d’approche par les risques, la veille et enfin, le contrôle prudentiel.

L’approche par les risques

En premier lieu, l’approche par les risques suggérée par la réglementation ne doit en aucun cas être négligée, encore moins minorée. Le dispositif retenu devra permettre, dès l’entrée en relation avec le client puis tout au long de cette relation, de détenir une classification graduée de la clientèle en fonction du niveau de risque préalablement identifié [11] . À chaque niveau correspondra alors un degré de diligence.

Pour atteindre l’objectif visé par cette organisation, une méthodologie d’évaluation des risques devra être élaborée, validée et mise en œuvre en prenant en compte différents critères, qu’ils soient liés :

• à l’origine géographique du client, suggérée par l’autorisation unique de la Cnil [12] ;
• à son activité professionnelle, telle que prévue dans le cadre de la connaissance de la situation professionnelle, économique et financière du client et du bénéficiaire effectif [13] ;
• aux types de produits et services en cause ;
• aux collaborateurs ayant initié la relation d’affaires…

Veiller et prévenir le risque de blanchiment

Le deuxième temps fort du dispositif repose sur la veille et la prévention, celle-ci étant tributaire d’une vigilance constante qui sera adaptée au risque identifié lors de l’entrée en relation. En effet, si le dispositif permet une graduation relative à chaque relation d’affaires, alors il permettra aussi de détecter plus aisément les cas de blanchiment potentiels, du fait du niveau de vigilance qui y sera associé. C’est ainsi que seront dissociés trois niveaux de vigilance : allégée, normale ou renforcée [14] . Seule la connaissance du client (le célèbre KYC, know your customer) permettra de pouvoir identifier les opérations qui peuvent être jugées atypiques ou non en fonction de la connaissance effective que l’on a de lui.

Il faut aussi prévoir les critères discriminants nommément désignés par la réglementation, impliquant d’y apposer une vigilance renforcée, sans même qu’une évaluation soit faite [15] .

Conceptualiser le contrôle prudentiel en quatre phases

Afin d’envisager sereinement la venue de l’autorité de régulation, il peut être opportun de découper cet exercice en étapes successives et complémentaires les unes des autres.

Prendre les devants : préparer une procédure de gestion du contrôle. L’objectif est de se préparer au contrôle à venir, il convient de réunir les informations nécessaires à une bonne préparation, à savoir la réglementation LAB-FT, les principes directeurs et de gouvernance du dispositif LAB, de même que (et surtout) les principes applicables au contrôle formel.

Il est conseillé de prévoir une procédure stricte qui assure de manière optimale la gestion du contrôle prudentiel depuis la réception de la lettre de mission jusqu’à la réception du rapport définitif, et même après. Il est en effet important que le contrôle se déroule sans obstacle et que tous les cas de figure soient envisagés.

Il est souhaitable que cette procédure réponde aux questions classiques suivantes.

• Qui ? Les acteurs habilités - Un interlocuteur unique devra être désigné, chargé d’accompagner et de faciliter le travail des inspecteurs et de les mettre en relation avec les collaborateurs internes. Certains interlocuteurs ponctuels seront eux aussi désignés, qu’ils soient experts sur un sujet ou membres de la direction générale, ces derniers devant être «  [16] ». On n’interdit évidemment pas à l’équipe de contrôle d’interroger qui elle veut, mais seules les réponses des personnes (dirigeants) engagent l’établissement, évitant ainsi le problème des collaborateurs bavards, inconséquents, aigris…
• Quoi ? Les informations disponibles - Il s’agit évidemment pour les inspecteurs de pouvoir prendre connaissance des informations, qu’il s’agisse de la documentation sur le dispositif ou des registres de déclarations de soupçon. En revanche, il convient de prévoir que tout document qui leur est accessible en version électronique ne le soit qu’en lecture seule et non en écriture.
• Où ? Le lieu du contrôle - Les locaux doivent être accessibles à l’équipe de contrôle. Il convient donc de prévoir en ce sens des badges d’accès en amont (penser alors à inclure dans la question des acteurs en présence et avertis, le service de sécurité). De la même manière, les inspecteurs devront bénéficier d’un accès au matériel (poste de travail, notamment).

Concernant l’accès aux informations, il est opportun que l’établissement se dote d’un référentiel du dispositif LAB-FT recensant la documentation, les procédures, les outils, les statistiques… relatifs à ce processus spécifique. Ce référentiel sera fourni aux inspecteurs en version papier (pour faciliter la lecture) et en version électronique (pour correspondre aux attentes de l ’autorité de contrôle [17] ). Il est par ailleurs fortement recommandé que ce référentiel électronique soit accessible à tous les collaborateurs de l’établissement sur un Intranet afin de répondre aux impératifs d’information indiqués dans la réglementation LAB-FT [18] .

Se préparer à la venue de l’autorité de contrôle. Aucune précision n’est apportée quant au délai d’information des établissements relatif à l’arrivée du contrôle. L’ordre de mission, qui consiste à informer l’établissement du périmètre de contrôle, peut être demandé auprès du chef de mission [19] lors de son arrivée dans les locaux. Néanmoins, les faits semblent indiquer que les établissements sont prévenus a minima huit jours avant la venue des inspecteurs. L’expérience montre que plus les établissements sont prévenus tôt, plus longue sera la mission de contrôle.

L’ordre de mission indique par ailleurs le périmètre du contrôle et permettra donc aux établissements de prévoir la documentation y afférent, qu’elle soit en version papier ou électronique. Il convient alors de prendre toutes les dispositions nécessaires pour accueillir correctement les inspecteurs, tant au niveau de la logistique que de l’attitude à avoir à leur encontre. À cet égard, « neutralité, courtoisie et professionnalisme » sont les maîtres mots [20] .

Écouter, répondre et se rendre disponible tout au long de la mission. Objectivement, la qualité d’accueil rencontrée par les inspecteurs orientera quelque peu le sens du rapport final. En réalité, quatre tendances doivent être privilégiées :

• Le savoir-être – outre la neutralité, la courtoisie et le professionnalisme, il est attendu des établissements contrôlés «  diligence et loyauté [21] »;
• L’accessibilité du personnel – qu’il s’agisse de collaborateurs internes ou de tiers d’importance (tels que les commissaires aux comptes par exemple), l’interlocuteur unique désigné dans la procédure de gestion du contrôle prudentiel, devra faire preuve de diligence et de rapidité dans l’organisation des entretiens et des rencontres nécessaires à la réalisation de la mission du contrôle [22] ;
• La mise à disposition de moyens logistiques – la décence insuffisante des locaux, la difficulté d’accès à ceux-ci ainsi qu’un traitement aléatoire ou incorrect, auront nécessairement un impact négatif sur la tendance du rapport définitif;
• La qualité et l’exhaustivité des informations et documents – en dehors d’une mise à disposition rapide et efficace des informations demandées, il peut être opportun de privilégier l’écrit afin d’attester du délai de réponse.

L’écrit servira par ailleurs à gérer la période « post-contrôle ».

Profiter du débat contradictoire et mettre à profit les résultats du contrôle. À la fin de la mission de contrôle, une restitution orale est faite auprès de l’établissement (dirigeants ou personnes dûment mandatées) sur la base d’un «  projet de rapport [23] ». Au cours de cette restitution, le chef de mission est amené à présenter les principaux constats qui ont été effectués. Il est conseillé d’engager une débat sur ces constats afin de « faire corriger les erreurs factuelles, de faire valoir des éléments dont [le chef de mission n’a pas eu connaissance] ou de faire état de points de vue divergents [24] ».

Sur la base de cette restitution orale et des échanges qui en auraient découlé, le rapport définitif sera rédigé par le chef de mission et les suites de la mission seront communiquées « soit au conseil d’administration, soit au directoire et au conseil de surveillance, soit à l ’organe délibérant [25] ».

Un bilan post-contrôle est nécessaire

La maxime juridique : «  qui ne dit mot consent [26] », permet d’affirmer ici qu’il est impératif de répondre par écrit sous un délai de quinze jours [27] , notamment si l’établissement n’est pas en phase avec le rapport définitif ou bien si les débats oraux qui ont eu lieu n’ont pas eu d’impact sur le rapport définitif. En revanche, la réponse écrite sera nécessairement annexée au rapport définitif [28] qui pourra ensuite, si une procédure disciplinaire devait s’engager, aller à l’encontre des intérêts du contrôlé. L’écrit devra donc rester purement factuel et se garantir de ne pas aggraver les choses.

Enfin, si l’objectif de l’autorité de contrôle est préventif, l’établissement ne doit pas se contenter de subir la mission des inspecteurs, mais réellement mettre à profit les résultats qui en ressortiront. Aussi sera-t-il préconisé de faire un bilan post-contrôle, d’avoir un œil critique sur les résultats tant positifs que négatifs et de décider de plans d’action qu’il conviendra de mettre en œuvre. Si par ailleurs ce bilan devait avoir lieu avant réception du rapport définitif, il pourrait être tout à fait propice d’intégrer ces plans d’action à la réponse au rapport définitif. Dans cette hypothèse, il conviendrait toutefois de mettre en œuvre les actions prévues : les contrôles sur place pouvant en effet être diligentées dans le cadre du suivi des formulations recommandées.

1 Loi n°87-1157 du 31 décembre 1987 relative à la lutte contre le trafic de stupéfiants et modifiant certaines dispositions du code pénal (notamment l’article 2 incriminant pour la première fois le blanchiment pour trafic de stupéfiants). Directive 91/308/CEE du Conseil, du 10 juin 1991, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux. 2 Directive 91/308/CEE du Conseil, du 10 juin 1991, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux. 3 Section 7 du chapitre premier du titre VI du livre V du code monétaire et financier, créé par l’ordonnance n°2009-104 du 30 janvier 2009 précitée, conférant à l’ACP le contrôle des obligations prévues en matière LAB-FT « et le cas échéant, le pouvoir de sanction en cas de non respect de celles-ci » (art. L561-36 du Code monétaire et financier). 4 Voir en ce sens le paragraphe 1.2 de la charte de contrôle ACP dans le secteur de l’assurance : « un contrôle préventif ». 5 Art. L. 612-1 du Code monétaire et financier. 6 Art. L. 612-1-II du Code monétaire et financier. 7 Art. L. 612-39, L. 612-41-I et II du Code monétaire et financier. 8 Voir en ce sens la publication des lignes directrices conjointes entre l’ACP et Tracfin sur les déclarations de soupçon le 22 juillet 2010. 9 Art. L. 561-30-II du Code monétaire et financier disposant que « lorsque dans l’accomplissement de leur mission, les autorités de contrôle […] découvrent des faits susceptibles d’être liés au blanchiment de capitaux et au financement du terrorisme, [elles] en informent [Tracfin] ». 10 Art. L. 561-30-I du Code monétaire et financier. 11 Article 11-7 du CRBF 97-02, paragraphe 1. 12 Délibération n°2005-297 du 1er décembre 2005 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre dans des organismes financiers au titre de la lutte contre le blanchiment de capitaux et le financement du terrorisme, notamment son article 2 qui précise que peuvent être recueillies les informations sur la nationalité du client et des tiers. 13 Arrêté du 2 septembre 2009 pris en application de l’article R. 561-12 du Code monétaire et financier et définissant les éléments d’information liés à la connaissance du client et de la relation d’affaires aux fins d‘évaluation du risque de blanchiment de capitaux et de financement du terrorisme. 14 Voir en ce sens le nivellement induit par les articles L. 561-6 (vigilance constante sur la relation d’affaires), L. 561-9 (vigilance allégée) et L. 561-10-2 (vigilance renforcée) du Code monétaire et financier 15 Article L. 561-10 du Code monétaire et financier sur les clients qui n’ont pas été rencontrés physiquement, les personnes politiquement exposées, les produits favorisant l’anonymat… 16 Paragraphe 5.3 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ». 17 Paragraphe 5.1 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement » : « les échanges de documents sous format électroniques sont privilégiés ». 18 Règlement CRBF 97-02 du 21 février 1997, modifié par l’arrêté du 29 octobre 2009, article 11, paragraphe 2.3 : « [Les entreprises] veillent à ce que [les agents concernés] aient accès aux informations internes nécessaires à l’exercice de leurs fonctions ». 19 Paragraphe 3.2.1 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement » : « A la demande de l’établissement, [le chef de mission] présente « l’ordre de mission signé par le Secrétaire général de l’Autorité de contrôle prudentiel et qui mentionne le champ de vérification ». 20 Paragraphe 5.6 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ». 21 Paragraphe 5.2 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement » : « Les dirigeants de l’établissement et leurs collaborateurs répondent avec diligence et loyauté aux demandes de renseignement qui leur sont adressées ». 22 Paragraphe 5.4 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ». 23 Art L.612-27 du code monétaire et financier et paragraphe 4.10 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ». 24 Paragraphe 4.10 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement » et art L. 612-27 du Code monétaire et financier indiquant que : « [les dirigeants contrôlés] peuvent faire part de leurs observations ». 25 Art. L. 612-27 du Code monétaire et financier. 26 « Qui tacet, consentire videtur. » 27 Paragraphe 4.10 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ». 28 Paragraphe 4.10 de la « charte de conduite d’une mission de contrôle sur place dans le secteur de la banque, des services de paiements et des services d’investissement ».