Si certains ont pu se sentir perdus à la lecture de la troisième directive européenne, qu’en est-il lorsqu’ils ont jeté leur tout premier regard sur les normes réglementaires françaises la transposant en droit interne ? Car si une seule directive a suffi à la Commission pour établir les obligations minimales en LAB/LFT, il aura fallu pas moins d’une ordonnance, plusieurs décrets et une demi-douzaine d’arrêtés pour en assurer leur transposition.
Quand bien même les professionnels auront eu la patience de décortiquer une à une ces normes, qu’ils auront réussi à passer outre les allers-retours entre les différents textes et articles, ils devront alors se poser cette question primordiale : comment appliquer cet imbroglio juridique à la réalité de leur activité ?
Le KYC : une investigation digne des RG
La première difficulté réside dans la toute première obligation de vigilance à mettre en œuvre lorsqu’on est sur le point de nouer une relation d’affaire : l’identification du client, du client occasionnel et du bénéficiaire effectif car si dans certains secteurs d’activité, la fourniture d’une pièce d’identité est courante, la présentation d’un deuxième document attestant de l’identité est beaucoup plus difficile à faire passer.
Principales problématiques rencontrées
Identifier le « bénéficiaire effectif » peut relever d’un défi majeur lorsque l’entité assujettie se trouve confrontée à un enchevêtrement de sociétés, de dirigeants, de mandataires. Par ailleurs, si le seuil légal d’un bénéficiaire effectif est de 25 % de détention de capital, quelques établissements (dont la maturité et les équipements le permettent) ont abaissé ce seuil à hauteur de 10 %, voire en deçà, pour éviter le contournement du seuil légal en détenant par exemple 24,99 % de la société.
Si l’on ajoute à ces difficultés initiales les doutes relatifs à une identité, ce qui engendre en principe, une interdiction de nouer la relation d’affaires, alors potentiellement, le recours à une enquête d’honorabilité s’avère nécessaire. Cependant, au regard des coûts engendrés par une telle démarche, une étude d’opportunité et un bilan coût-avantage s’enchaînent. Cette interrogation semble profiter aux grands groupes qui peuvent alors bénéficier d’économies d’échelle par rapport aux établissements de moyenne ou de petite taille.
Ainsi, les dispositions autorisant les professionnels assujettis à recourir à des tiers pour réaliser les diligences d’identification donneront-elles lieu à l’émergence de nouvelles entités ? L’apparition de prestataires de services de services spécialisés en KYC (Know Your Customers) permettrait aux petits et moyens organismes assujettis d’externaliser et de mutualiser alors ces centres de coûts, mais non de profits. Cette opportunité sera cependant subordonnée au fait que ces prestataires répondent aux conditions imposées par la réglementation pour bénéficier de la qualité de « tiers ».
Le cas échéant, surgiraient alors nécessairement les interrogations sur la gestion des données confidentielles et sur la fiabilité des informations reçues. Et si les normes semblent claires quant à la responsabilité finale, qui reste de l’apanage de l’entité assujettie, ce serait alors au prisme du KYE (Know Your Employees, graphique 1) de s’en trouver ébranlé. Il conviendrait, dans cette hypothèse, de permettre une possible surveillance par les établissements assujettis sur ces prestataires de service. Les économies induites par l’externalisation se trouveraient alors dans la balance face aux nécessaires dépenses de contractualisation, de vérification des sous-traitants et d’imperméabilisation des données d’intelligence économique.
Dans l’optique de satisfaire aux exigences réglementaires et de ne risquer aucune sanction administrative, pénale ou financière, certains institutionnels perdent des clients non pas d’un refus de nouer une relation d’affaires, mais d’un tel « micmac » de procédures KYC que les clients, qui souhaiteraient traiter dès le lendemain, se tournent vers des concurrents quelque peu moins procéduriers.
Il conviendrait de la part du législateur et des autorités de régulation de permettre aux entreprises assujetties de trouver un juste équilibre entre le respect des normes, la sécurisation des activités et donc la protection de l’établissement, mais aussi le développement des affaires.
Enfin, au regard des critères à analyser selon la réglementation, la prise de connaissance du client impose désormais un recueil non négligeable d’informations. Et l’importance du nombre d’informations à obtenir engendre une nécessaire vérification de celles-ci
Les moyens associés
D’un point de vue des ressources humaines, on assiste à la professionnalisation du métier d’analyste KYC. Cette fonction, au départ logée dans des services administratifs de type back-office (ex. : service d’administration des tiers) s’adresse aujourd’hui davantage à des profils spécialisés à l’image des pratiques que l’on observe dans les pays anglo-saxons.
La connaissance du client à proprement parler reste du ressort des commerciaux, ces derniers étant en première ligne face aux clients. Toutefois, afin d’alléger les chargés de clientèle sur les tâches de recherche et d’analyse, on voit de plus en plus apparaître des services transversaux dédiés aux analyses KYC à réaliser lors de l’entrée en relation et lors des mises à jour de données en cours de relation. Les analystes KYC complètent les informations apportées par les commerciaux et procèdent à des recherches complémentaires selon le niveau de risque pressenti, en ayant recours à des outils spécifiques (ex. : Factiva, Worldcheck, Bankers Almanach…). Ces services peuvent également disposer d’une délégation de décision d’entrée en relation pour les clients peu sensibles.
En parallèle, sont également mis en place des moyens informatiques permettant une industrialisation du KYC sur les aspects automatisables (ex. : récupération automatique de documents officiels, gestion électronique des documents) dans un objectif de sécurisation et de traçabilité des processus (ex. : administration des workflows, piste d’audit).
Quel gain au regard du temps consacré ?
Si les nouvelles obligations semblent plus que chronophages, il convient de relativiser le risque de perte de productivité. Car si l’objectif initial est une mise en conformité, l’objectif in fine est la maîtrise du risque d’image. En effet, en sus des sanctions pénales et administratives basiques encourues, tant le juge pénal que l’autorité de tutelle sont à même de faire publier la décision de condamnation – qui est presque systématiquement prononcée.
Si enfin on ajoute à ces sanctions de publication la recherche intensive des médias (tant de la presse écrite qu’audiovisuelle) des scandales financiers à dénoncer, nous conviendrons que le fait de disposer d’un dispositif efficace et efficient sera donc opportun pour assurer la protection de l’image de l’entreprise et donc la sécurisation de ses activités. Le temps à y consacrer sera d’autant plus minime si l’organisme procède à une industrialisation afin de consacrer du temps aux tâches à valeur ajoutée telles que l’analyse de cas difficiles ou réellement suspects.
La classification des risques de blanchiment, profilage et/ou pilotage ?
Le décret du 2 septembre 2009 impose désormais aux entreprises assujetties de se doter d’une classification des risques pour évaluer le profil de leurs clients et y associer les diligences appropriées.
Pour éviter la confusion des genres, la réglementation a opté pour le terme de classification plutôt que cartographie. En effet, une cartographie implique d’identifier les zones à risques sur lesquels la maîtrise n’est pas appropriée au regard de l’exposition. En revanche, en matière LAB, l’objectif est d’identifier les degrés de risque portés par la clientèle et par les transactions afin de faire correspondre à ces profils des graduations de vigilance adaptées.
La matrice finale de cette classification n’est donc pas à utiliser en aval afin de travailler sur le dispositif à proprement parler, mais doit bien être créée en amont afin que chaque nouveau client soit profilé avant toute opération et que le gestionnaire en charge de son dossier lui applique les diligences appropriées.
Ainsi donc, la première étape est de bâtir une méthodologie de profilage dans un objectif opérationnel. Puisqu’il s’agit de permettre aux opérationnels une approche par les risques orientée sur le profilage de leurs clients, celle-ci doit recouvrer deux axes : les données relatives au client ainsi que celles relatives à la relation d’affaires qui va naître.
Il convient donc d’identifier en premier lieu les critères permettant d’analyser le risque de blanchiment. La réglementation suggère que ce risque est fonction non seulement des éléments personnels au client (nature juridique, origine géographique, secteur d’activité, etc.) mais encore de la nature de la relation d’affaires qui va découler de la contractualisation avec l’entreprise (type de produit, volume et évolution des opérations, circuit bancaire, etc.). Par la suite, il s’agira de créer une méthode de calcul amenant à une hiérarchisation des profils existants, l’échelle ainsi obtenue permettant de distinguer plusieurs degrés de risques correspondants aux graduations des vigilances (voir en ce sens le développement relatif aux degrés de vigilance).
Les degrés de vigilance
La troisième directive énonce clairement trois niveaux de vigilance : normales, renforcées et simplifiées. En revanche, l’ordonnance de transposition et ses textes d’application insèrent la notion de « mesures de vigilance complémentaires » applicables aux situations suivantes :
– le client, ou son représentant légal, est absent physiquement ;
– le client est une personne politiquement exposée (PPE) et réside en dehors de la France ;
– le produit ou l’opération à exécuter favorise l’anonymat ;
– l’opération est réalisée pour compte propre d’un professionnel assujetti domicilié dans un État ne répondant aux normes de lutte antiblanchiment.
Or, la 3e directive inclut trois de ces hypothèses dans le champ des mesures renforcées, à savoir :
– l’absence physique du client ;
– la relation d’affaires avec une PPE résidant à l’étranger ;
– le produit ou la transaction favorise l’anonymat.
Doit-on alors classifier le client en fonction des critères internes et, le cas échéant, lui appliquer des mesures complémentaires au lieu de le considérer en tant que « risque élevé » ou au contraire, faciliter l’application du dispositif général par les opérationnels en imposant directement une vigilance renforcée ?
À ce jour, les organismes assujettis ne distinguent pas entre mesures complémentaires et mesures renforcées et considèrent qu’il s’agit de clients ou de produits présentant un risque élevé intrinsèquement, ils leur appliquent donc, en sus des diligences répondant à leur profil de risque, des diligences spécifiques.
La vigilance normale, les interrogations en suspens
Afin de sensibiliser les commerciaux sur les obligations émanant des mesures de vigilance normales, il convient de faire passer un message provenant de la hiérarchie, donc de manière top down. Par ailleurs, ces nouvelles obligations doivent impérativement être intégrées dans les process existants, voire venir compléter les fiches de postes concernés.
Par exemple, en ce qui concerne les clients détenant des lignes de crédit, celles-ci doivent être revues annuellement, ce sera alors l’occasion pour le front-office de vérifier les éventuelles modifications du profil initialement analysé et ainsi assurer le suivi de la relation d’affaires. Ainsi, le risque pourra être réévalué de manière périodique afin de continuer à y adapter les mesures de vigilance adéquates.
Rappelons que la responsabilité d’action appartient au front-office, mais dans la pratique, celui-ci délègue souvent à un middle-office voire à tout autre service de support les mises à jour régulières. À cela ne se superpose pas le service dédié à la lutte antiblanchiment, celui-ci étant compétent pour accompagner et conseiller les métiers, contrôler le respect des normes LAB et traiter les cas difficiles.
La charge de travail afférente à la vigilance normale devra être contrebalancée par une automatisation le plus souvent possible. Ainsi, la récupération automatique de documents ou informations provenant des sites officiels, l’analyse des alertes par le biais de systèmes d’information dédiés à la LAB seront autant d’atouts pour l’entreprise dès lors que les coûts d’acquisition ou de mise en œuvre seront justifiés par des gains d’ETP.
L’exposition politique du client et du client occasionnel
Bien que certaines formalités de mise en œuvre divergent (notamment en ce qui concerne le lieu de résidence ou l’autorité d’affiliation de la PPE), nous conviendrons que la 3e directive et la réglementation française s’accordent pour faire des PPE un critère de risque élevé en termes de blanchiment.
Comment identifier les PPE ? Car non seulement il s’agit des PPE directes, mais les normes incluent aussi les PPE indirectes (membres de la famille plus ou moins proches et relation d’affaires). Mais qu’en est-il des données confidentielles relatives à la vie privée ? Comment identifier des PPE de tout pays ? Des PPE qui pourraient être mariées, mais auraient gardé leur nom de jeunes filles ? Les professionnels assujettis sont-ils tenus d’acquérir des outils de filtrage ?
Il n’existe pas vraiment de solutions autres que ces outils de filtrage. Ici encore, les grands groupes ne seront pas acculés financièrement, mais les petites et moyennes structures devront, quant à elles, acquérir une seule licence et centraliser alors l’utilisation de l’outil sans toutefois oublier qu’elles sont tenues à une obligation de moyen et non de résultats.
Il est de notoriété publique que selon l’éditeur choisi, telle ou telle zone géographique est mieux couverte. Dans ce cas, outre les moyens financiers impliqués par l’acquisition de plusieurs logiciels, la lourdeur organisationnelle et fonctionnelle ne doit-elle pas donner lieu à une réflexion de rationalité ?
L’exposition politique des bénéficiaires effectifs
De la même manière, quels moyens sont à la disposition des opérationnels pour identifier l’exposition politique des bénéficiaires effectifs lorsqu’on est confronté à des ramifications « poulpesques » ? Comment pouvoir accéder à des sites du type infogreffe.com dans des langues étrangères ?
Certes, il existe des bases de données pertinentes en la matière telles que Diane, Orbis, Dun & Bradstreet, etc. reprenant des informations sur l’actionnariat, les comptes et bilans annuels des sociétés françaises et étrangères ou encore Bankers Almanach regroupant des informations sur les banques, mais, ici encore, la question financière se soulève.
De la même manière, la lecture d’alphabets différents du nôtre doit entrer en ligne de compte dans la stratégie à adopter. Quand cela s’avère possible, et notamment pour les multinationales, il pourra être procédé à l’utilisation du réseau interne (c’est-à-dire les succursales étrangères) pour s’assurer de la fiabilité de l’information reçue (officialité du document, correspondance entre les informations fournies par le client et la traduction qui pourra être faite desdits documents, etc.).
Si, cependant, ce multilinguisme n’est pas à la portée de l’organisme alors, une demande de traduction ou une certification de documents par une personne indépendante seront les seuls recours pour assurer la conformité de la procédure.
Opérationnalité et mise en conformité, une difficile conciliation
La mise en conformité aux nouvelles réglementations demande un travail intensif notamment au regard du délai imparti pour s’y conformer, à moins, bien sûr, que vous n’ayez la chance de faire partie des quelques organismes qui ont anticipé la transposition. Néanmoins, pour ceux qui ne l’ont pas devancée, il ne convient pas de rechercher à tout prix la mise en conformité au détriment de l’opérationnalité du dispositif qui doit pouvoir perdurer et surtout être applicable. Car plus qu’un palliatif aux sanctions potentielles, il faut envisager la mise en œuvre de la lutte antiblanchiment dans l’entité comme une véritable opportunité d’approfondir son expertise métier et de lutter contre des fléaux inadmissibles.
On reprochera d’ailleurs à la 3e directive d’imposer un passage d’une législation d’exception à une législation de droit commun. En effet, au départ, la lutte antiblanchiment était envisagée comme le meilleur moyen de lutter contre la criminalité la plus sordide : trafic de stupéfiants, trafic d’êtres humains, trafic d’organes, criminalité organisée… Elle concerne désormais toute infraction punie d’une peine privative de liberté supérieure à un an.
Autant dire que bien peu des actes répréhensibles par le droit pénal français sont exclus de son champ d’application. Et, s’il était possible de faire comprendre aux collaborateurs de chaque professionnel assujetti l’idéal qui se cachait derrière la réglementation initiale, il est désormais difficile de leur contester une vision un peu plus « délatrice ».
Dans l’hypothèse, voire dans la crainte, d’un contrôle d’une autorité de régulation, il est souhaitable de ne pas se précipiter pour offrir à cette dernière une mise en œuvre complète du dispositif si celui-ci est non opérationnel. Il semble au contraire plus opportun de concéder au régulateur que le dispositif reste en cours de construction, mais que son efficience et sa pertinence seront au rendez-vous.
Le juste équilibre
Il convient maintenant à chaque établissement de trouver le juste équilibre entre maîtrise des risques, conformité réglementaire et opérationnalité. Cet équilibre trouvera tout son sens au regard de la taille et de la nature des activités de l’établissement. Il n’y a donc pas un dispositif de lutte antiblanchiment, mais autant de dispositifs sur mesure qu’il y a d’établissements assujettis.
Au-delà de l’imbroglio juridique et réglementaire avec lequel il faut désormais composer, les établissements auront tout intérêt à déceler et concrétiser les nombreux bénéfices qu’ils pourront tirer de leurs travaux de mise en conformité, en particulier sur la meilleure connaissance du client et la génération de nouvelles opportunités commerciales
Mais, avant toute chose, le principal effet collatéral sera sans doute l’opportunité d’améliorer la culture « risques » des équipes, nécessité incontournable dans un contexte où les risques opérationnels, la fraude, le blanchiment, la corruption
sont au cœur des préoccupations.
