Projet de 4e directive de lutte contre le blanchiment : évolution ou révolution ?

Le 5 février dernier, la Commission européenne a adopté deux propositions visant à renforcer les règles de lutte contre le blanchiment des capitaux et le financement du terrorisme :

• une proposition de directive relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme (LCB/FT), dite « 4^e directive » ;
• une proposition de règlement sur les informations accompagnant les virements de fonds.

En avril 2012, alors que les établissements assujettis avaient encore en mémoire les projets de mise en conformité à la 3 ^e directive [1] fraîchement déployés, la Commission européenne avait en effet entrepris d’examiner le cadre de transposition et d’application de cette directive parmi les pays membres, mettant ainsi en évidence un certain nombre d’incohérences et de divergences (à titre d’exemple, les principes d’identification du bénéficiaire effectif ont donné lieu à des interprétations différentes). La Commission avait également relevé que le cadre européen n’était déjà plus complètement en phase avec les recommandations du GAFI actualisées et publiées dans leur nouvelle version en février 2012. Chacun s’attendait dès lors à la sortie d’une nouvelle mouture de la directive européenne. Le projet publié il y a quelques semaines devra naturellement être adopté par le Parlement et le Conseil, conformément à la procédure en vigueur. Le calendrier reste aujourd’hui incertain, bien que les discussions au Parlement aient commencé dès la fin avril.

Les nouveautés majeures du projet de 4^e directive

La 3^e directive avait véritablement révolutionné la manière d’appréhender la prévention et la détection du blanchiment au sein des établissements : notions nouvelles (relation d’affaires, personne politiquement exposée, bénéficiaire effectif), introduction de l’approche par les risques et nécessité de disposer d’une classification des risques, obligation de disposer de mesures de vigilances différenciées (allégées, complémentaires, renforcées). S’en était suivi des projets, souvent lourds, de mise en conformité composés de différents volets : formation des collaborateurs concernés, révision des méthodologies et des procédures de connaissance du client, adaptation du système d’information et des référentiels afin de stocker et gérer les données nouvelles (bénéficiaire effectif, PPE), révision du système de suivi des risques (à l’entrée en relation puis au cours de la relation grâce notamment à l’analyse des transactions).

À peine 4 ans après la transposition française [2] de la 3^e Directive, la question se pose donc des nouveautés majeures proposées par cette 4^e version, et de l’ampleur des impacts susceptibles d’être générés au sein des établissements. Nous avons pris le parti de nous attacher ici aux mesures qui nous apparaissent les plus significatives.

Un champ d’application élargi

Bien que les établissements financiers ne soient pas impactés par ces modifications, il semble tout de même intéressant de mentionner en guise d’introduction les évolutions relatives à l’extension du champ d’application (article 2 du projet). Les agents de location sont désormais assujettis au même titre que les agents immobiliers. La location n’était en effet pas mentionnée dans la 3^e directive, et était clairement exclue de l’ordonnance de 2009.

En outre, alors que seuls les casinos étaient assujettis dans la 3^e directive, le projet couvre désormais de manière globale les prestataires de services de jeux d’argent et de hasard, notamment en ligne. Cette disposition n’aura toutefois pas d’impact en France puisqu’une loi du 12 mai 2010 [3] a d’ores et déjà étendu le champ d’application de la directive aux prestataires de jeux de hasard et de paris en ligne, le contrôle du respect par ces derniers de leurs obligations étant confié à l’Autorité de régulation des jeux en ligne. Enfin, le projet diminue de 15 000 à 7 500 euros le seuil d’assujettissement des personnes physiques ou morales qui négocient des biens et pour lesquels les paiements sont effectués en espèces. Pour mémoire, cette disposition n’avait pas été appliquée en l’état dans l’ordonnance de transposition : la France avait en effet ciblé parmi les établissements assujettis, les personnes se livrant « habituellement au commerce de pierres précieuses, métaux précieux, antiquités et œuvres d’art », et ce dès le premier euro.

Bénéficiaire effectif : une mesure intéressante mais qui pourrait être plus aboutie

Sur le thème des bénéficiaires effectifs, l’article 29 apporte une réelle nouveauté. En effet, il indique que « les États membres veillent à ce que les sociétés ou les entités juridiques établies sur leur territoire obtiennent et détiennent des informations adéquates, exactes et actuelles sur leurs bénéficiaires effectifs. Les États membres font en sorte que les informations visées […] soient accessibles en temps opportun aux autorités compétentes et aux entités soumises à obligation ». Selon cet article, il sera de la responsabilité de chaque société ou entité juridique d’établir une liste de ses bénéficiaires effectifs et de la tenir à disposition des autorités et des établissements assujettis, ce qui devrait faciliter la tâche de ces derniers. La mesure devrait donc recueillir un accueil favorable de la part des établissements assujettis, l’identification des bénéficiaires effectifs pouvant vite devenir une obligation insurmontable dès lors que le client est domicilié à l’étranger ou qu’il s’agisse d’une entité juridique spécifique de type trust. Reste à voir comment les sociétés et entités juridiques seront informées de cette nouvelle obligation leur incombant, et à identifier la forme que revêtiront ces informations. Les sociétés devront-elles produire une liste formalisée ou une attestation ?

La mesure aurait cependant pu aller plus loin. Lors des réunions tenues dans le cadre de l’actualisation des recommandations du GAFI fin 2011, ainsi que dans le cadre de débats plus récents sur la présentation du projet de texte par la Commission à Bruxelles, de nombreux membres ont émis le souhait de voir créer des bases officielles et accessibles à chaque assujetti, et sur lesquelles il serait fait obligation à chaque société et entité juridique de renseigner ses bénéficiaires effectifs. Un tel processus faciliterait réellement la tâche des assujettis puisqu’elle leur donnerait un accès libre et gratuit à une information centralisée immédiatement disponible. La Commission européenne semble toutefois se montrer réticente à choisir cette voie, notamment pour des raisons de coût… et préférerait donc reporter la charge de la mesure sur le secteur privé. Si la mesure ne séduit pas au niveau européen, peut-être sera-t-elle introduite dans le dispositif français, via le registre du commerce.

Des obligations étendues pour les personnes politiquement exposées

Une des nouveautés majeures de cette 4^e directive porte sur les PPE et la distinction désormais réalisée entre PPE nationales et PPE étrangères [4] qui vise à assurer la conformité aux recommandations actualisées du GAFI. La notion de PPE nationale a quelque peu évolué, puisque les personnes physiques qui sont ou ont été chargées de fonctions publiques importantes par un pays tiers sont nommées les PPE étrangères, tandis que les personnes physiques qui sont ou ont été chargées de fonctions publiques importantes par un État membre correspondent aux PPE nationales.

En ce qui concerne les obligations à l’égard des PPE étrangères, donc toutes celles qui exercent ou ont exercé en dehors d’un Etat membre, deux nuances sont apportées. Désormais, dans le projet de 4^e directive, l’obligation d’identification des PPE vise non seulement les clients, mais également les bénéficiaires effectifs des clients. Ce point aura sans aucun doute un impact au sein de certains établissements, au sein desquels le « filtrage PPE » n’était pas étendu aux bénéficiaires effectifs. L’autre point porte sur l’obligation d’obtenir d’un niveau élevé de la hiérarchie l’autorisation de nouer ou maintenir une relation avec des PPE étrangers. Désormais, un salarié qui possède une connaissance suffisante de l’exposition de son établissement aux risques de blanchiment des capitaux et une position hiérarchique suffisamment élevée pour prendre des décisions ayant une incidence sur cette exposition est considéré comme à même d’autoriser l’entrée ou le maintien de la relation. Un responsable de la conformité ou de la sécurité financière devrait donc pouvoir entrer dans cette définition, ce qui devrait permettre un allégement du processus d’entrée en relation avec ce type de population.

Concernant les PPE nationales, la première obligation vise à les identifier grâce à des procédures adéquates fondées sur les risques. Ce n’est que si la relation d’affaires est considérée comme présentant un risque plus élevé que les mesures de vigilance spécifiques sont à mettre en œuvre : autorisation de nouer ou de maintenir la relation par un niveau élevé de la hiérarchie, information sur l’origine des fonds et l’origine du patrimoine, suivi renforcé continu de la relation d’affaire. Les dispositifs devront donc en pratique pouvoir être allégés pour les PPE exerçant dans un pays membre, sous réserve que le risque ne soit pas jugé plus élevé et que cela soit démontré et documenté. Alors que toute PPE était considérée comme portant un risque dans la 3^e directive (risque de blanchiment de l’argent de la corruption notamment), une gradation est désormais introduite.

Par ailleurs, lorsqu’une PPE nationale ou étrangère cesse d’exercer ses fonctions, les établissements assujettis seront tenus d’apprécier le risque que continue de poser cette personne, et ce pendant une période d’au moins 18 mois. Dans la troisième directive, le délai était fixé à 1 an.

Lors des discussions en vue de modifier les recommandations du GAFI, de nombreux participants représentant les établissements assujettis avaient demandé à ce que les États membres soient tenus de publier des listes officielles de PPE. Les listes sont en effet aujourd’hui commercialisées par des sociétés privées, sans aucune garantie quant à leur exhaustivité, leur fiabilité et leur niveau d’actualisation. Ce souhait n’a cependant pas été retenu, ni dans les recommandations du GAFI ni dans le projet de directive. Se pose là encore, comme sur le sujet des bénéficiaires effectifs, la question de l’accessibilité à l’information des établissements assujettis et du coût de cette information, sans que les autorités ne semblent enclines à apporter une réponse satisfaisante.

Approche par les risques : des modifications substantielles

L’approche par les risques, nouveauté majeure de la 3^e directive, est naturellement maintenue dans ce projet. Concernant les obligations simplifiées de vigilance à l’égard de la clientèle, l’exonération prévue par la 3^e directive en cas de risques faibles [5] est remplacée par la possibilité donnée aux États d’autoriser la mise en œuvre de mesures allégées [6] . Autre nouveauté : la publication en annexe de la directive d’un certain nombre de facteurs indicatifs de situations de risque potentiellement moins élevé et dont doivent tenir compte les établissements assujettis dans le cadre de leur évaluation du risque. Ces facteurs se décomposent en trois niveaux :

• facteurs inhérents aux clients ou aux produits ;
• services et canaux de distribution ;
• facteurs de risques géographiques.

Sur l’axe clients, pas de surprise pour les sociétés cotées et les entreprises publiques, toujours considérées comme présentant des risques faibles. En revanche, la mention qui pointait spécifiquement les établissements financiers ou les établissements de crédit établis dans un État membre ou un pays tiers équivalent, clairement identifiés comme présentant un risque faible, n’a pas été reprise. Une mesure beaucoup plus large a été formulée à la place, qui surprend tant elle élargit le champ des clients présentant potentiellement un risque faible. En effet, selon le texte, le risque est considéré comme potentiellement moins élevé dès lors que le client – quelle que soit sa nature (personne physique, personne morale non cotée, association), puisque rien n’est précisé – réside dans une zone géographie à risque moins élevé, à savoir un autre État membre de l’UE, un pays tiers qui dispose de systèmes efficaces de lutte contre le blanchiment des capitaux, un pays tiers identifié « par des sources crédibles [7] » comme présentant un faible niveau de corruption ou d’activité criminelle. Les établissements financiers et de crédit sont vraisemblablement inclus dans cette catégorie, mais le fait qu’ils soient considérés comme tout autre type de clients sans que leurs spécificités en soient reconnues est tout de même étonnant.

Concernant les obligations renforcées, le projet introduit également une annexe recensant des critères à prendre en compte. À noter que le secteur de la banque privée est pointé du doigt dans son ensemble, sans aucune distinction. Est-ce l’activité de gestion de fortune qui est visée ici ? Le point reste à expliciter.

Relevons également les facteurs de risques géographiques qui méritent d’être éclaircis. Ainsi, la formulation du point selon lequel un pays sur le territoire duquel opèrent des organisations terroristes présente un risque élevé pourrait laisser penser que, par exemple, la France devrait de fait être catégorisée en risque élevé. En conclusion sur ce point, la directive prévoit également la publication par les superviseurs européens d’orientations visant à préciser la nature et l’étendue des mesures attendues et qui seraient destinées aux superviseurs nationaux et aux établissements assujettis.

Un durcissement affiché des sanctions administratives

La 3^e directive précisait dans son article 39 que s’agissant des personnes morales, les États membres devraient veiller à ce qu’elles soient au moins tenues pour responsable des manquements à la directive commis pour leur compte par toute personne agissant individuellement ou en qualité de membre de la direction. Le projet de 4^e directive complète cette disposition en allant plus loin puisqu’il est désormais précisé que les États membres font en sorte que des sanctions puissent être infligées aux membres des organes de direction, ou à toute autre personne physique, qui sont responsables de l’infraction. Cette mention de toute autre personne physique mériterait d’être éclaircie. Qui vise-t-on ici ? Un compliance officer, un commercial qui n’aurait pas rempli la fiche KYC pour ses nouveaux clients ? L’exposition à la sanction de l’ensemble des personnes en relation avec la clientèle et en charge du suivi des opérations dans les back-offices constitue réellement une mesure nouvelle, qui risque de faire du bruit dans les établissements si elle est conservée dans la version finale du texte, puis mise en œuvre. La volonté de responsabilisation des acteurs est légitime, mais peut être faudrait-il fixer un cadre plus précis. À relever par ailleurs l’article 56, qui recense l’ensemble des sanctions administratives recommandées en cas de manquement : déclaration publique, retrait d’agrément, interdiction temporaire d’exercer pour le membre de la direction responsable, sanction pécuniaire de 10 % du chiffre d’affaires annuel total pour la personne morale, sanction d’un montant maximal de 5 millions d’euros pour une personne physique. Le durcissement est ainsi clairement affiché, alors que certains ont déjà dénoncé le caractère inacceptable d’un tel niveau de sanction.

La prise en compte du « risque pays » dans le cadre de l’approche par les risques

Comme nous l’avons détaillé plus haut, les facteurs de risque géographique, mentionnés dans les annexes 2 et 3 du projet de directive, sont clairement à intégrer dans l’approche par les risques. Cependant, le projet de 4^e directive ne contient plus expressément de dispositions en matière d’équivalence positive contrairement à la 3^e directive. L’introduction du projet indique ainsi que « le régime d’obligations de vigilance à l’égard de la clientèle […] étant plus fortement basé sur le risque, l’application d’exemptions sur la base de critères purement géographiques devient moins pertinente ». Le système de liste dite blanche recensant les pays considérés comme disposant d’une réglementation antiblanchiment équivalente à celle en vigueur au sein de l’Union est donc destiné à disparaître, selon le projet de directive, la Commission souhaitant laisser à chaque établissement le soin de procéder à l’identification de ces pays. Le vœu d’homogénéiser les pratiques restera donc pieux en la matière. Aucune liste commune n’existait jusqu’alors au niveau européen, chaque État publiant sa propre liste [8] .  La charge incombera désormais aux établissements, ce qui est la porte ouverte aux divergences. Les professionnels vont donc certainement regretter cette disposition qui, non seulement, facilitait la mise en œuvre opérationnelle des mesures de vigilance, mais également garantissait une approche relativement homogène du risque entre établissements. Les listes blanches officielles présentaient, il est vrai, certaines limites dans l’appréciation du risque. Ainsi le Mexique, pays gangrené par le trafic de drogue mais reconnu par la France comme un pays tiers équivalent en matière de lutte contre le blanchiment de capitaux, en est l’illustration.

Il est à noter que cette disposition s’inscrit directement dans l’esprit de la 4^e directive et la mise en exergue de l’approche par les risques. En ce sens, si la directive avait pour objectif initial de bâtir un socle commun au niveau européen, l’affirmation du principe d’approche par les risques transfère la détermination d’un certain nombre de principes structurants à chaque pays membre, voire à chaque établissement, ce qui ne permettra probablement pas d'atteindre l’objectif initial.

La dimension groupe

Les deux derniers points mentionnés ci-dessus impactent directement les établissements de dimension internationale, à travers deux aspects de la lutte antiblanchiment :

• la définition d’une politique LCB/FT groupe ;
• les échanges d’informations intra-groupe.

En France, les lignes directrices «  relatives aux échanges d’informations au sein d’un groupe et hors groupe (mars 2011) » fixent déjà un cadre normatif à la prise en compte de la dimension groupe dans les dispositifs LCB/FT, et ont permis une application opérationnelle, à travers :

• la définition d’une politique groupe, socle commun à toutes les entités, de traitement de la lutte antiblanchiment : si chaque entité doit a minima respecter la réglementation locale, elle peut mettre en œuvre des principes définis par le groupe (par exemple dans l’approche par les risques). Ainsi, la directive stipule que « les établissements de crédit et les autres établissements financiers de l’Union ayant des succursales ou des filiales établies dans des pays tiers dont la législation en la matière est défaillante devraient, pour éviter l’application de normes très divergentes en leur sein ou au sein de leur groupe, appliquer les normes de l’Union ou, si c’est impossible, en aviser les autorités compétentes de leur État membre d’origine » ;
• la répartition des rôles et responsabilités de chaque acteur de la lutte antiblanchiment dans le groupe : chaque responsable LCB/FT local est correspondant de la CRF [9] nationale, mais est aussi garant de la conformité du dispositif vis-à-vis du groupe. À l’inverse, le responsable LCB/FT du groupe doit appuyer les responsables locaux dans l’application opérationnelle de la LCB/FT ;
• la mise en place d’échanges d’informations intra-groupe : bien évidemment, les dispositifs locaux doivent s’accorder avec les réglementations locales de protection des données individuelles, mais doivent aussi échanger entre pays sur les clients « groupe » en cas de déclaration de soupçons. Ces échanges doivent être sécurisés, entre collaborateurs habilités, et définis clairement dans les procédures LCB/FT des entités concernées.

Cependant, la disparité des réglementations locales au niveau européen rendait nécessaire l’affirmation (ou le rappel) de ces aspects dans la 4 ^e directive.

Les disparités entre pays membres

Les débats sur le texte au Parlement ont débuté le 24 avril. En France, il est fortement envisageable que les impacts seront relativement limités :

• d’une part parce que l’exercice de transposition de la 3^e directive avait été accompli avec diligence ;
• d’autre part parce que l’Ordonnance de 2009 a été complétée par un corpus de lignes directrices exposant les attentes des autorités et anticipant, pour un certain nombre de points, les évolutions figurant dans les recommandations du GAFI actualisées en février 2012 (bénéficiaires effectifs, échange d’informations groupe et hors-groupe).

Néanmoins, les disparités existent entre pays membres et le niveau de maturité sur ce sujet est loin d’être identique. L’objectif premier de la révision visait à remédier à ce dysfonctionnement. Qu’en sera-t-il avec le texte définitif ? Sa nature même (une directive et non pas un règlement) laisse une marge d’interprétation lors de l’étape de transposition dans les droits nationaux, naturellement source de divergences… qui seront probablement renforcées par le principe phare d’approche par les risques, louable par la responsabilisation des acteurs qu’il implique mais qui, par définition, constitue l’aboutissement d’une réflexion personnelle, contraire aux idées de convergence et d’homogénéité.

1 Directive 2005/60/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme. 2 Ordonnance 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux et de financement du terrorisme. 3 Loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne. 4 Pour mémoire, les PPE étaient auparavant traitées dans la Directive 2006/70/CE du Parlement européen et du Conseil pour ce qui concerne la définition des personnes politiquement exposées. 5 Article 11 de la directive de 2005 : « Les États membres […] peuvent autoriser les établissements soumis à la présente directive à ne pas appliquer les obligations de vigilance à l’égard de la clientèle. » 6 Article 13 du projet : « Lorsqu’un État membre ou une entité soumise à obligation identifie des domaines présentant un risque moins élevé, cet État membre peut autoriser les entités […] à appliquer des mesures de vigilance simplifiée à l’égard de la clientèle. » 7 Une association comme Transparency International entrerait dans cette catégorie. 8 Arrêté du 27 juillet 2011 relatif à la liste des pays tiers équivalents : Afrique du Sud, Australie, Brésil, Canada, Corée du Sud, États-Unis, Fédération de Russie, Hong Kong, Inde, Japon, Mexique, Singapour, Suisse. 9 Cellule de renseignements financiers.