4e directive : une opportunité pour les établissements ?

Le 5 juin 2015 est parue au Journal Officiel de l’Union européenne la Directive 2015/849 du Parlement et du Conseil relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et du financement du terrorisme, plus communément dénommée la « 4e Directive ». Cette parution est l’aboutissement de plus de trois ans de travaux et de négociations. En effet, la Commission européenne avait entrepris d’examiner le cadre de transposition et d’application de la « 3e Directive [1] » dès le mois d’avril 2012, et avait ainsi pu constater un certain nombre d’incohérences dans les interprétations des différents pays membres, voire même de divergences quant à l’application de certaines règles. La Commission avait alors relevé que le cadre européen n’était déjà plus complètement en phase avec les recommandations du GAFI [2] , actualisées et publiées dans leur nouvelle version en février 2012. Alors que la « 3e Directive » avait réellement constitué une révolution et avait nécessité la refonte majeure des dispositifs de lutte contre le blanchiment au sein des établissements financiers, quels seront les impacts de ce nouveau texte ?

L’approche par les risques confirmée et ajustée

La « 3e Directive » avait introduit dans la réglementation la notion majeure d’approche par les risques, à savoir la faculté donnée aux établissements financiers de moduler leurs diligences LCB/FT [3] en fonction des risques présentés par leurs clients et relations d’affaire. Certes l’approche par les risques avait nécessité la conduite d’une analyse poussée par les établissements assujettis, en vue d’identifier les situations de risque faible, standard ou élevé, puis de définir les diligences appropriées à mettre en œuvre. Néanmoins, elle avait permis d’alléger les contrôles à mener dans un certain nombre de cas, pour autant que l’absence de soupçon de blanchiment soit assurée. L’approche par les risques est confirmée dans la « 4e Directive », avec cependant une responsabilité désormais clairement étendue aux différents acteurs de la LCB/FT : charge en effet aux autorités de supervision, aux États membres, et aux établissements assujettis d’évaluer les risques de BC/FT en vue d’apporter des réponses appropriées et proportionnées.

Les articles 6, 7 et 8 exposent ainsi ces dispositions : i) la Commission réalise une évaluation des risques de blanchiment des capitaux et de financement du terrorisme au niveau de l’Union [4] , ii) les Autorités européennes de surveillance (EIOPA, ESMA, EBA) rendent un avis sur les risques de blanchiment de capitaux et de financement du terrorisme pesant sur le secteur financier de l’Union [5] , iii) chaque État membre prend des mesures afin d’identifier, évaluer, comprendre et atténuer les risques de blanchiment de capitaux et de financement du terrorisme auxquels il est exposé. La directive prévoit même sur ce point que chaque État « mette rapidement à la disposition des entités assujetties des informations appropriées leur permettant de réaliser plus facilement leurs propres évaluations des risques ». Enfin l’article 8 indique que les États membres veillent à ce que les établissements assujettis prennent les mesures appropriées afin d’identifier les risques auxquels ils sont exposés. La question majeure est de savoir si ces mesures se traduiront par des directives suffisamment concrètes et précises pour être d’une vraie utilité opérationnelle pour les établissements. En effet sous couvert qu’il appartient à chaque établissement de procéder à sa propre évaluation des risques, aucune guideline méthodologique réellement opérationnelle n’a jamais été diffusée pour accompagner les assujettis dans cette démarche. Une fois affirmé qu’il convient de tenir compte de la typologie de clients, des produits distribués, des canaux de distribution et de la notion restée relativement abstraite de conditions de réalisation, le champ des possibles reste large… Ce qui s’est traduit par des démarches plus ou moins abouties ou cohérentes au sein des établissements : classifications qui sont en fait des cartographies ou vice versa, classifications fondées sur des critères non suffisamment discriminants (PPE-non PPE par exemple), démarche en silos avec une classification sans lien avec les diligences « KYC » [6] opérées ni la surveillance des transactions… Il est vrai que le degré de maturité sur ce sujet peut varier d’un établissement à l’autre et d’un domaine d’activité à l’autre (secteur bancaire versus secteur de l’assurance et de la mutualité). Néanmoins le sujet de l’opérabilité et de l’efficacité des dispositifs en place est majeur, et des apports méthodologiques seraient donc les bienvenus.

Le risque pays revisité

Autre point à souligner s’agissant de l’approche par les risques : l’évolution de la prise en compte du risque pays. La « 3e Directive » faisait largement référence aux pays dits tiers équivalents, considérés comme appliquant des mesures équivalentes à celles de l’Union en matière de LCB/FT. En l’absence de démarche coordonnée au sein de l’Union, la France avait publié en 2011 sa propre liste des pays tiers équivalents [7] . Cette notion est dans sa forme actuelle abandonnée dans la nouvelle mouture (la notion transparaît toutefois dans les critères fournis en annexe). En revanche, l’article 9 introduit la notion de pays tiers à haut risque, à savoir les pays « qui présentent des carences stratégiques », et qui de fait « font peser une menace significative sur le système financier de l’Union ». Cette démarche s’inscrit dans celle initiée par le GAFI [8] en 2012. Charge donc à la Commission de mener la réflexion et de pointer du doigt les mauvais élèves. Au plan opérationnel, cette mesure ne devrait pas avoir beaucoup d’impacts, les établissements disposant aujourd’hui largement de leur propre liste de pays dits sensibles, établie sur la base de la liste des pays tiers équivalents française, des listes du GAFI, de celles de Transparency International, ou alors des listes publiées par les administrations fiscales.

Autre disposition qui en revanche est susceptible de nécessiter quelques aménagements dans les dispositifs déployés par les établissements : l’introduction, en annexe de la Directive, de facteurs de situations de risque potentiellement moins élevé, ou au contraire plus élevé. Ces facteurs qui se veulent non exhaustifs reprennent certains critères auparavant inscrits dans le corps de la directive (par exemple risque faible pour une société cotée sur un marché qui assure une transparence suffisante des bénéficiaires effectifs ou bien pour une administration publique). À noter cependant la désignation de la banque privée comme un domaine d’activité présentant un risque potentiellement élevé, et l’introduction de facteurs de risques géographiques, avec un focus sur la corruption, cible du législateur européen, au même titre que la fraude fiscale.

Compromis sur les infractions fiscales et la corruption

Dans un contexte marqué par les scandales successifs impliquant des banques et révélant des systèmes organisés de fraude fiscale, le Parlement européen a souligné, lors de la publication de la Directive, qu’un des objectifs clairement affiché avec cette nouvelle mouture est l’intensification de la lutte contre les infractions fiscales. Transparency International ou Eva Joly ont par exemple salué le pas ainsi franchi. D’autres en revanche ont avancé le terme de compromis d’un ton réprobateur. Retour en 2005 : la « 3e Directive » impose aux établissements assujettis de rechercher les bénéficiaires effectifs finaux de leurs clients personnes morales, l’objectif étant d’identifier les personnes physiques au profit desquelles les opérations sont effectuées. La mise en œuvre s’est vite révélée ardue pour les établissements, dès lors qu’ils avaient à faire face à des cascades de société, ou à des structures opaques, voire à des structures opaques domiciliées dans des paradis fiscaux… Dès lors, les travaux de révision de la « 3e Directive » ont rapidement abouti à la possibilité d’imposer aux sociétés de livrer le nom de leurs bénéficiaires effectifs, rejetant ainsi la balle dans le camp des entreprises. Très vite des questions ont émergé : toutes les sociétés seront-elles concernées ? Quid des trusts ? Les établissements assujettis pourront-ils totalement fonder leur analyse sur ces informations, sans avoir à les vérifier ? L’article 30 introduit ainsi l’obligation pour les États membres de veiller à ce que « les sociétés et autres entités juridiques soient tenues de fournir des informations sur le bénéficiaire effectif aux entités assujetties lorsque celles-ci prennent des mesures de vigilance à l’égard de leur clientèle ». Ces informations seront conservées dans un registre central (par exemple un registre du commerce) dans chaque État membre : charge aux entreprises de s’assurer que ces informations soient en permanence exactes.

Quelle latitude pour les journalistes ?

L’accès à ce registre est clairement exposé dans la Directive : i) autorités compétentes et CRF sans restriction, ii) entités assujetties dans le cadre de la vigilance à l’égard de la clientèle, iii) toute personne ou organisation capable de démontrer un intérêt légitime. Cette notion d’intérêt légitime fait partie des points controversés : les détracteurs de la Directive estiment que la transparence n’est pas totale. En effet, les personnes souhaitant accéder aux données devront démontrer cet intérêt légitime. Cette contrainte s’appliquera aux journalistes d’investigation, il est vrai aujourd’hui véritables acteurs de la lutte anticorruption et antifraude fiscale par tous les scandales qu’ils ont révélés au grand jour. À noter que la Directive ne donne pas de définition de l’intérêt légitime. Le point sera probablement ardemment discuté lors des travaux de transposition. L’autre sujet de controverse vise les trusts. Lors des discussions, la question avait été largement débattue, le Royaume-Uni notamment ayant tenté de les exclure du dispositif. L’article 31 précise bien que les États membres exigent des trustees qu’ils obtiennent et conservent des informations « adéquates, exactes et actuelles » sur les bénéficiaires effectifs du trust. Néanmoins, l’alinéa 4 nuance le propos : en effet, il est prévu que les informations soient conservées dans un registre central lorsque le trust « génère des conséquences fiscales ». L’article 31 constitue-t-il alors un pas en avant ou bien une mesure d’éviction des trusts du dispositif ? La notion de conséquences fiscales devra être précisée lors des travaux de transposition, mais en laisse perplexe plus d’un.

Cette mesure représente-t-elle un vrai gain pour les établissements assujettis ? La difficulté d’identifier les bénéficiaires effectifs a été reconnue par le législateur européen, mais en l’absence de mesures totalement abouties pour les trusts, les établissements risquent de rester au milieu du gué… et ce d’autant plus que la Directive précise bien que les entités assujetties ne devront pas s’appuyer exclusivement sur le registre central pour remplir leurs obligations. Dans l’attente de la transposition, la première question est celle du véritable usage qui pourra être fait du registre des bénéficiaires effectifs : entre la simple information déclarative et la source de contrôles exacte, actualisée et fiable, la marge est grande. La seconde est celle des mesures que les États membres seront à même de prendre à l’égard des sociétés commerciales en cas de non-respect de la loi.

L’autre thème qui a soulevé les discussions est celui des personnes politiquement exposées, ou PPE. À l’heure actuelle, les PPE doivent faire l’objet de mesures de vigilance spécifiques pour autant qu’ils soient non résidents en France. Lors des débats a été introduite la notion de PPE « national », « national » signifiant résidant dans l’Union européenne. Dès lors il était question de considérer que tous les PPE résidant au sein de l’Union présentaient un risque de corruption moindre que ceux résidant hors de l’Union. La « 4e Directive » dans sa version définitive revient sur ce point et acte que tout PPE, quel que soit son lieu de résidence et d’exercice, présente un risque élevé de corruption et de fait de blanchiment. Le texte indique ainsi qu’il convient de mettre en œuvre des mesures de vigilance renforcées à l’égard des personnes qui exercent ou ont exercé des fonctions publiques importantes sur le territoire national ou à l’étranger. De nombreux établissements, notamment ceux de taille importante, ont déjà anticipé cette mesure ; au plan opérationnel il était en effet parfois plus contraignant d’exclure les PPE non résidants que de les inclure dans le processus de vigilance renforcée. Les plus petites entités en revanche, qui avaient parfois repoussé l’idée de se doter d’un outil d’identification automatique des PPE, arguant le fait que « tous » leurs clients sont résidents (oubliant de fait qu’une personne peut devenir PPE par « contagion », car un de ses ascendants, descendants ou époux en est un), devront s’équiper. Il est illusoire de penser qu’une identification manuelle est maintenable sur la durée vu les nouvelles obligations.

Les apports pour les établissements assujettis

S’agissant de l’approche par les risques, les divers rapports attendus sur l’exposition aux risques, rédigés par les autorités au niveau national et européen, pourront constituer un vrai bénéficie s’ils s’avèrent réellement opérationnels, tenant compte du principe de proportionnalité, de la diversité des acteurs et des métiers. Afin d’améliorer les dispositifs, c’est la méthodologie qui fait souvent défaut. Certes les approches doivent être personnalisées et adaptées, mais des conseils sur le « comment faire… » seraient les bienvenus.

Pour les bénéficiaires effectifs, le registre centralisé est sans contexte un apport majeur, qui devrait sans aucun doute faciliter le travail des professionnels, pour autant que les autorités de tutelle en reconnaissent formellement la qualité et la fiabilité. Les travaux de transposition devront sécuriser ce point.

Outre les mesures sur les dispositifs LCB/FT à mettre en œuvre, notons tout de même que la Directive consacre plusieurs articles aux sanctions à appliquer en cas de manquements. L’heure est au durcissement. À titre d’illustration, les sanctions administratives pécuniaires sont fixées à au moins 1 million d'euros. Lorsque l’entité concernée est un établissement de crédit ou un établissement financier, le montant est porté à au moins 5 millions d'euros ou 10 % du chiffre d’affaires annuel total… ce qui devrait contribuer à convaincre ceux pour qui le sujet LCB/FT est encore un sujet accessoire.

La transposition en droit national devra intervenir au plus tard en juin 2017. Deux ans pendant lesquelles il faut sans aucun doute s’attendre à des discussions animées : la marge de manœuvre laissée à chaque partie prenante ne devrait pas manquer d’enrichir les débats.