Règlement (UE) 2024/1624 en date du 31 mai 2024 relatif à l’utilisation du système financier
aux fins de blanchiment de capitaux ou du financement du terrorisme

L’utilisation de l’instrument du règlement européen est une première dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC-FT¹). Cela témoigne des grandes ambitions des instances européennes pour accélérer l’harmonisation des règles en la matière au sein de l’Union et corriger les disparités importantes relevées dans les législations des États membres lors de la transposition de la série de directives adoptées précédemment.

Ce règlement dénommé single rulebook constitue l’un des trois textes composant le « paquet LBC-FT », avec une nouvelle directive² et un second règlement instituant la nouvelle autorité européenne dédiée à la LBC-FT³ (l’ALBC ou l’AMLA⁴ en anglais). Par ces deux règlements, l’Union européenne franchit une étape décisive dans l’accélération de l’intégration de la LBC-FT dans le marché intérieur européen.

Les conditions d’une concurrence équitable au sein de l’Union sont ainsi renforcées d’une part, entre les États membres et d’autre part, entre les établissements puisque ce règlement s’applique aux nouveaux acteurs tels que les prestataires de services sur crypto-actifs et les prestataires de services de financement participatif⁵.

Une harmonisation maximale, transverse et granulaire des règles LBC-FT est apportée par le single rulebook. Cela aboutit à la fixation de règles plus strictes que celles existantes dans les législations des États membres.

Le règlement met en exergue l’importance de la connaissance du client. À cet effet, la transparence du bénéficiaire effectif est renforcée et le périmètre des personnes politiquement exposées est étendu. En matière d’externalisation, un régime spécifique est fixé avec une série de nouvelles restrictions. Enfin, une gouvernance LBC-FT unique au niveau européen est fixée avec pour objectif principal d’impliquer étroitement la direction au plus niveau pour veiller au respect des obligations LBC-FT tant au niveau de l’entité qu’au niveau du groupe.

Si la mise en place d’un marché unique européen intégré exige la fixation de règles précises sur tous les composants du dispositif de LBC-FT, l’efficience de ce dernier requiert l’application de règles suivant l’approche par les risques, véritable colonne vertébrale de ce dispositif.

La difficulté est donc de concilier le besoin de renforcer l’harmonisation des règles en matière de KYC et de LBC-FT au sein de l’Union avec la nécessité de permettre leur adaptation suivant l’approche par les risques. Cela est d’autant plus nécessaire au regard de l’harmonisation maximale et transverse apportée par le single rulebook.

Les diligences KYC sont renforcées de manière substantielle mettant ainsi en exergue l’importance de la connaissance du client, socle sur lequel repose l’efficacité de l’ensemble du dispositif de LBC-FT.

Le règlement fixe les mesures de vigilance à appliquer à l’égard de la clientèle ainsi que les données précises à collecter⁶ avec un renforcement des diligences pour les clients, ou le cas échéant les bénéficiaires effectifs, qualifiés de personnes politiquement exposées (PPE). Les obligations en la matière sont étendues à double titre.

Tout d’abord, les membres de la famille des PPE devant être identifiés incluent désormais les frères et sœurs mais uniquement pour les PPE exerçant des fonctions de chefs d’État, chefs de gouvernement, ministres et ministres délégués ainsi que les secrétaires d’État⁷. Les États membres ont la possibilité d’étendre cette identification à d’autres fonctions publiques importantes si la structure organisationnelle et culturelle de l’État membre le justifie ainsi qu’au regard du risque généré.

Le périmètre des PPE a également été étendu aux responsables de collectivités régionales et locales, y compris les groupements de communes et de régions métropolitaines de communes de plus de 50 000 habitants, ainsi qu’aux membres des organes dirigeants des partis politiques occupant des sièges dans des organes exécutifs ou législatifs nationaux, régionaux ou locaux représentant des circonscriptions atteignant le seuil susvisé. Eu égard à la diversité de l’organisation administrative des États membres et du risque généré aussi bien en matière de BC-FT que de corruption, les États membres ont la possibilité de fixer un seuil plus bas. Aucun seuil n’avait été fixé sur ce point par les précédentes directives européennes illustrant à nouveau l’harmonisation maximale et granulaire du single rulebook.

Cette harmonisation granulaire des diligences KYC se matérialise également par la fixation de périodicité pour l’actualisation des dossiers KYC avec une double limitation correspondant à un an pour les clients ayant un profil de risque LBC-FT élevé et cinq ans pour les autres clients⁸. C’est la première fois qu’un texte fixe des délais sur ce point. La périodicité était fixée jusqu’ici suivant l’approche par les risques⁹, sous le contrôle bien sûr du régulateur. En pratique, les banques appliquent d’ores et déjà très largement la revue sur base annuelle du KYC des clients présentant un risque LBC-FT élevé. S’agissant de la seconde limitation, des précisions sont attendues quant à la mise en œuvre de cette mesure via les normes d’exécution afin d’expliciter le principe posé par le single rulebook. Cela pourrait consister par exemple à préciser la nature de la revue à réaliser et/ou à optimiser l’articulation entre la revue sur événements déclencheurs et la revue périodique. Un équilibre pourrait ainsi être trouvé entre l’harmonisation maximale des règles KYC au sein de l’Union et l’approche par les risques pour cette catégorie de clients présentant un risque LBC-FT faible.

Le règlement fixe un seuil spécifique de détention capitalistique applicable à des catégories de sociétés présentant un risque élevé en matière de BC-FT en prenant en compte les secteurs d’activité dans lesquels ces catégories d’entités opèrent. Ce seuil distinct est fixé au maximum à 15 % de la participation au capital de la société, avec la possibilité pour la Commission européenne de fixer un seuil plus élevé mais inférieur au seuil standard de 25 %¹⁰ pour certaines des catégories d’entités listées. La Commission dressera une liste des catégories d’entités pour lesquelles un seuil distinct s’applique, avec la faculté de fixer des seuils différents pour une partie d’entre elles. Cette liste sera établie en collaboration avec les États membres qui identifieront au niveau national les catégories d’entités présentant un risque LBC-FT élevé. La Commission publiera ensuite la liste des catégories d’entités considérées comme présentant un risque de BC-FT élevé pour l’Union ainsi que le seuil distinct à appliquer pour chacune des catégories identifiées.

Cette liste peut ne pas reprendre toutes les catégories d’entités identifiées au niveau national par les États membres puisque l’objectif de la Commission est d’identifier celles présentant un risque LBC-FT élevé au niveau de l’Union ; et non uniquement au niveau de l’État membre concerné. Cette liste sera revue régulièrement par la Commission afin de prendre en compte les évolutions de ce risque au sein de l’Union.

La transparence des BEs est également renforcée par l’obligation d’identifier de manière systématique et indépendante tous les différents modes de détention ou de contrôle en visant en particulier l’identification du contrôle par d’autres moyens¹¹. Le single rulebook définit le contrôle par d’autres moyens¹² en listant les hypothèses correspondant en substance à celles listées à l’article L. 233-3 du Code de commerce. Il s’agit classiquement du droit de nommer ou de révoquer la majorité des membres du conseil d’administration ou des organes d’administration, de gestion ou de surveillance de l’entité, des droits de veto ou des droits de décision exercés au sein de l’entité, la prise de décisions concernant la distribution des bénéfices de l’entité ou entraînant un transfert d’actifs dans l’entité, ainsi que les cas particuliers résultant notamment de la conclusion d’accords formels ou informels conclus avec des actionnaires, l’utilisation de conventions de mandataires officielles ou non, les relations entre les membres d’une famille. Le single rulebook unifie au niveau européen la notion de contrôle par d’autres moyens et impose son identification systématiquement ; et non uniquement en cas d’absence de détention capitalistique suivant les seuils fixés. Cette harmonisation maximale en matière d’identification du BE aboutit à un relèvement des exigences en la matière. Cela est le cas également s’agissant des autres composants du dispositif de LBC-FT.

Le règlement fixe des règles précises sur tous les composants du dispositif afférent comprenant notamment un régime spécifique en matière d’externalisation et une gouvernance LBC-FT unique au sein de l’Union.

Le texte fixe des conditions spécifiques en matière d’externalisation des tâches composant le dispositif de LBC-FT, singularisant ainsi le régime de l’externalisation en la matière. Une liste de six tâches est dressée pour lesquelles l’externalisation est strictement interdite, même entre entités appartenant au même groupe¹³. Cela concerne la proposition et l’approbation de l’évaluation des risques LBC-FT au niveau de l’établissement, l’approbation des politiques et procédures LBC-FT et contrôle interne de l’établissement, l’attribution du profil de risque du client, la décision d’établir une relation d’affaires ou d’exécuter une transaction occasionnelle, l’approbation des critères de détection des transactions et activités suspectes ou atypiques, la réalisation des déclarations de soupçon ou des communications systématiques d’informations. S’agissant de cette dernière tâche, l’interdiction ne s’applique pas lorsque ces activités sont externalisées à une autre entité assujettie appartenant au même groupe et établie dans le même État membre¹⁴, s’inscrivant ainsi sur ce point dans la continuité du droit positif français¹⁵.

À cette liste s’ajoute l’interdiction d’externaliser d’autres tâches, telles que les diligences KYC ou la réalisation des mesures de vigilance, dans un pays tiers qualifié de risque élevé par la Commission ; sauf en cas d’externalisation à un prestataire de services appartenant au groupe¹⁶.

Des orientations doivent être établies par l’ALBC afin d’expliciter la mise en œuvre des conditions d’externalisation en matière de LBC-FT. Cela devrait permettre de préciser les principes fixés en la matière par le single rulebook en adoptant une approche pragmatique et proportionnée afin d’aménager les conditions d’externalisation aux contraintes des entités de petite taille appartenant à un groupe ne disposant ni de l’expertise, ni des effectifs nécessaires pour réaliser elles-mêmes certaines des tâches listées.

S’agissant de règles spéciales, ces orientations devraient s’appliquer en lieu et place de celles établies par l’Autorité bancaire européenne en matière d’externalisation¹⁷.

L’harmonisation transverse du single rulebook aboutit enfin à la fixation d’une gouvernance LBC-FT.

Le single rulebook a intégré la gouvernance fixée par l’ABE dans ses orientations¹⁸ exigeant la nomination d’un compliance manager et d’un compliance officer avec une volonté d’impliquer la direction au plus niveau dans le dispositif de LBC-FT.

Ainsi, l’organe de direction dans sa fonction de direction doit valider les politiques internes LBC-FT¹⁹ ainsi que l’évaluation des risques à l’échelle de l’entité²⁰, laquelle doit être communiquée à l’organe de surveillance. Il convient de relever que la validation de l’évaluation des risques relève du responsable de la mise en œuvre du dispositif de LBC-FT (le RMO) au titre de l’arrêté du 6 janvier 2021²¹.

La fonction de compliance manager²² doit être occupée par un membre de l’organe de direction dans sa fonction de direction.

Cette obligation s’applique sans aucune distinction quant à la forme sociale adoptée par les établissements. Or, une diversité de structures coexiste au sein de l’Union soumise à un régime de responsabilité distinct, si bien que l’impact de cette nouvelle obligation peut différer considérablement suivant la forme sociale adoptée. Nous pouvons distinguer principalement le système moniste dans lequel la direction générale occupe une place prépondérante avec un Conseil d’administration, et le système dualiste comprenant un directoire composé de cinq membres au plus avec un Conseil de surveillance. Le règlement précise que la responsabilité du respect des exigences en matière de LBC-FT doit relever en dernier ressort de l’organe de direction de l’entité, sans préjudice des dispositions nationales relatives à la responsabilité civile et pénale conjointe des organes de direction. Ainsi, lorsque l’organe de direction dans sa fonction de direction est un organe collectivement responsable de ses décisions, tel que le directoire, le compliance manager voit sa responsabilité réduite puisqu’il est chargé dans ce cas d’assister, de conseiller l’organe de direction et de préparer les décisions.

Les missions du compliance manager sont larges et diversifiées. Certaines d’entre elles s’apparentent à celles dévolues aux dirigeants, appréhendés toutefois de manière collective, par l’arrêté du 6 janvier 2021²³. Il doit garantir la conformité de l’entité à la réglementation en matière de LBC-FT, veiller à la cohérence des politiques, procédures et contrôles internes afférents mis en place par l’entité avec son exposition aux risques, veiller à leurs mises en œuvre, veiller à l’adéquation des ressources humaines et matérielles allouées à la LBC-FT.

En revanche, nous pouvons relever que la validation des procédures internes LBC-FT et les contrôles relèvent désormais du compliance manager²⁴, alors que cette mission est dévolue au RMO au titre de l’arrêté du 6 janvier 2021²⁵.

En vertu du principe de proportionnalité, la fonction de compliance manager peut être exercée par la personne nommée en tant que compliance officer. Ces fonctions peuvent également être cumulées avec d’autres fonctions²⁶.

La fonction de compliance officer²⁷ doit être occupée par une personne située à un niveau hiérarchique suffisamment élevé et il doit être nommé par l’organe de direction dans sa fonction de direction.

Le compliance officer doit être en mesure de rendre compte directement et de manière indépendante aux dirigeants et à l’organe de surveillance, de leur faire part des préoccupations et de les avertir en cas d’évolution des risques de BC-FT affectant ou susceptible d’affecter l’entité²⁸. Aucune disposition du règlement n’impose un rattachement hiérarchique du compliance officer à l’organe de direction dans sa fonction de direction mais au regard du point susvisé il doit disposer d’une certaine indépendance.

Il a la responsabilité d’établir l’évaluation des risques à l’échelle de l’entité²⁹, laquelle doit être approuvée par l’organe de direction dans sa fonction de direction et être communiquée à l’organe de surveillance. Il doit également établir les politiques, procédures et contrôles internes en matière de LBC-FT de l’entité³⁰, doit veiller à leur application au quotidien, y compris en lien avec la mise en œuvre des sanctions financières, et valider les modalités d’évaluation de l’intégrité du personnel³¹. Le compliance officer doit être le point de contact pour les autorités compétentes³² et transmettre à TRACFIN les déclarations de soupçon et les informations sollicitées par ce dernier dans le cadre des demandes d’informations³³. Cette dernière tâche sera en pratique déléguée car cela n’est pas réalisé par une personne occupant un niveau hiérarchique élevé.

En conclusion, le single rulebook uniformise tous les composants du dispositif de LBC-FT avec un niveau élevé d’exigence et de granularité encadrant ainsi étroitement et strictement les procédures à mettre en place par les établissements. Il est attendu presque vingt normes de niveau 2, orientations et normes techniques d’exécution, afin de préciser la mise en œuvre des dispositions du règlement. C’est peut-être dans ces normes que l’approche par les risques sera explicitée afin de trouver l’équilibre nécessaire entre l’harmonisation maximale des règles LBC-FT au sein de l’Union et l’application de l’approche par les risques, garante de l’efficience du dispositif afférent. n