LCB-FT (suite) : de la vérification d’identité à distance des personnes morales

1. En aparté (et en attendant Godot). Comment cela est-il encore possible ? et sur un tel sujet de surcroît ? Comment, en effet, est-il encore possible que la France (mais elle n’est pas la seule, loin s’en faut), si soucieuse de LCB-FT, n’ait une fois encore pas respecté la date butoir (10 janvier 2020) de transposition de la 4e directive LCB-FT bis [1] (qui remonte tout de même au printemps 2018), sachant que, par ailleurs, elle avait en partie anticipé celle-ci en intégrant notamment les monnaies virtuelles dans le champ de la LCB-FT ? On se demande si cette nouvelle entorse faite au temps législatif européen est seulement de l’inconséquence [2] ou… ? De l’inconséquence et un peu d’indécence, aussi, lorsque l’on prétend jouer un « rôle moteur » ou afficher une « position volontariste » sur la scène internationale de la LCB-FT [3] .

C’est l’occasion de redire combien serait hautement souhaitable un règlement général LCB-FT, sur le modèle du RGPD, qui mettrait fin aux cacophonies de transposition des directives en la matière [4] . Sait-on suffisamment que la Commission européenne a engagé à ce propos des procédures d’infraction à l’encontre des 28 États membres de l’Union [5] ? Mais gageons que le nouveau mandat confié à l’EBA, sur l’ensemble du secteur financier (donc y compris les marchés couverts par l’ESMA et l’EIOPA) de prévention et de lutte contre le blanchiment des capitaux et le financement du terrorisme, accélérera cette mutation [6] .

2. Un diagnostic des difficultés. L’initiative est inédite et doit être saluée. Car, jusqu’à maintenant, les riches lignes directrices, principes d’application sectoriels ou positions de l’ACPR se contentaient (l’ACPR ne peut faire autrement) de nous donner des clés d’application des règles de LCB-FT même si celles-ci étaient, de fait, inapplicables.

En se fixant l’objectif de « réaliser un diagnostic des difficultés rencontrées lors de la vérification de l’identité à distance des personnes morales afin de proposer des modifications du cadre réglementaire » [7] , le groupe de travail sur la vérification de l’identité à distance des personnes morales franchit un pas de géant. De là notre regret d’attendre encore la transposition de la 4e directive bis, sauf à ce que le processus soit suspendu le temps d’intégrer les résultats du groupe de travail (l’hypothèse est plausible, mais il n’y aurait cependant pas beaucoup moins d’inconséquence).

3. Enfin ! Nous ne trouvons rien mieux que ce terme pour manifester le sentiment éprouvé à la lecture de ce passage : « Les mesures de vigilance “complémentaires”, construites principalement pour la vérification de l’identité des clients personnes physiques, ne paraissent pas toujours adaptées à la vérification de l’identité des clients personnes morales : certaines sont difficilement applicables par les assujettis et toutes ne présentent pas le même niveau d’exigence » [8] . Enfin, ce que les « assujettis » (des plus grandes banques aux plus petites FinTechs) martèlent depuis des années lorsqu’ils rencontrent (ou s’adressent à) l’ACPR est entendu.

À l’heure où l’Autorité publie son Analyse sectorielle des risques de blanchiment de capitaux et de financement du terrorisme en France [9] , il serait temps, en effet, de s’apercevoir que si l’on veut bien faire jouer pleinement l’approche fondée sur les risques, celle-ci révélerait que le principal risque encouru serait sans doute celui de ne pouvoir appliquer des mesures (en l’espèce, des mesures d’identification et de vérification de l’identité de la clientèle) tout bonnement inapplicables. Et toutes les cartographies des risques n’y pourront rien changer.

4. Illustrations de l’inapplicable. Il ne faut pas aller chercher très loin. Ainsi, parmi les six mesures dites « complémentaires » qui, indistinctement, s’appliquent tant aux personnes physiques qu’aux personnes morales, le groupe de travail réuni sous l’égide du Forum Fintech ACPR-AMF observe que… trois (la 1re, la 5e et la 6e) sont peu ou prou disqualifiées. Cela devrait suffire pour faire table rase du dispositif existant.

Il est en conséquence préconisé de s’en tenir au seul recueil d’un extrait K-bis, qui se suffirait à lui-même et vaudrait donc à lui tout seul vérification, même à distance, de l’identité de la personne morale. Quel bonheur de lire alors : « Ainsi les membres s’accordent-ils sur l’intérêt d’aligner la rédaction de la réglementation sur une pratique qui paraît suffisamment sûre pour permettre de reconnaître et encadrer le recueil et la vérification de l’authenticité des K-bis » [10] . Que n’a-t-on réuni ce groupe de travail plus tôt ! Et ne pourrait-on pas le pérenniser en élargissant son mandat à d’autres questions sensibles, qui font de la LCB-FT un exercice de contorsionnistes ?

5. Pour une APIsation du registre des bénéficiaires effectifs. Où il apparaît que les principales difficultés rencontrées au sujet des personnes morales sont finalement l’identification et la vérification des personnes physiques, que ce soit celles qui agissent pour le compte du client (avec un fort risque d’usurpation d’identité des représentants légaux des sociétés), ou plus encore, qu’il s’agisse des bénéficiaires effectifs.

Manifestement, la consultation du registre des bénéficiaires effectifs, tenu par les greffes des tribunaux de commerce, laisse à désirer, cependant que la 4e directive LCB-FT bis comporte de nombreuses nouvelles dispositions propres à ceux-ci. On retiendra dès lors du document produit par le groupe de travail la préconisation de développer une API afin d’accéder plus facilement au registre et de renforcer la fiabilité de sa consultation. Voilà un chantier supplémentaire à ajouter à la longue liste des travaux de rénovation de la LCB-FT.

Achevé de rédiger le 17 janvier 2020.