Nouveaux moyens de paiement, banque digitale et protection des données : Lutte antiblanchiment : bienvenue à l’approche fondée sur les risques dans le Code monétaire et financier

Le droit antiblanchiment nouveau. Le législateur français nous avait habitués au contraire, mais les temps changent et la tendance est davantage à anticiper la transposition des textes européens. Tel est le cas de l’ordonnance n° 2016-1635 du 1er décembre 2016 renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme qui, avec plus de six mois d’avance (malgré la proposition de 4e directive bis), transpose la 4e directive Antiblanchiment [1] .

Si l’on y adjoint l’ordonnance n° 2016-1575 du 24 novembre 2016 portant réforme du dispositif de gel des avoirs, c’est l’entier titre VI (ou presque) du livre V du Code monétaire et financier (CMF) qui est réécrit, en attendant la publication des textes d’application. Lorsque l’on connaît la prégnance des règles antiblanchiment (le fameux « KYC » en particulier) dans la pratique des professionnels, financiers et non financiers, assujettis, l’événement est à l’évidence considérable et il faudra du temps pour en digérer toutes les implications.

L’objet de ce commentaire n’est pas d’entrer dans le détail du droit nouveau de l’antiblanchiment (il serait d’ailleurs plus exact de le nommer droit de la lutte contre le financement du terrorisme, ce qui n’est pas sans poser une question de fond, celle que l’actualité – certes dramatique – d’une de ses branches commande le durcissement de l’ensemble) mais de saluer l’entrée dans notre CMF du principe directeur qui commande les travaux du GAFI et est désormais relayé dans les textes européens : l’approche fondée sur les risques [2] ou riskbased approach ( RBA [3] ).

Recommandations du GAFI et directives européennes. Ce n’est pas encore l’approche fondée sur les risques qui intègre les recommandations du GAFI de 2003, mais plutôt un principe de modulation, à la hausse ou à la baisse, des mesures de vigilance : « Les institutions financières devraient mettre en oeuvre chacune des mesures de vigilance […], mais elles peuvent déterminer l’étendue de ces mesures en fonction du niveau de risque associé au type de clientèle, de relation d’affaires ou de transaction. […] Pour les catégories à plus haut risque, les institutions financières devraient prendre des mesures de vigilance renforcée. Dans des circonstances déterminées, lorsque les risques sont faibles, les pays peuvent décider d’autoriser les institutions financières à appliquer des mesures réduites ou simplifiées [4] ». La 3e directive Antiblanchiment s’inscrivit dans ces traces (« Selon une approche fondée sur le risque, le principe selon lequel des obligations simplifiées de vigilance à l’égard de la clientèle peuvent s’appliquer dans des cas appropriés devrait être introduit dans la législation communautaire [5] »), à la suite desquelles marcha le législateur français : « Toutefois, en vertu du principe de l’approche par les risques, ces obligations de vigilance peuvent être modulées à la baisse ou à la hausse en fonction du risque de blanchiment ou de financement du terrorisme que présentent le client, le produit ou la nature de la relation d’ affaires [6] ».

Il faut attendre les recommandations révisées du GAFI de 2012 pour que l’approche fondée sur les risques fasse l’objet d’une recommandation à part entière (la première), qui l’érige en « principe général » : « Le principe général de l’approche fondée sur les risques est d’obliger les institutions financières et entreprises et professions non financières désignées à appliquer des mesures de vigilance renforcées lorsqu’il existe des risques plus élevés afin de les gérer et de les atténuer et, inversement, de permettre aux institutions financières et entreprises et professions non financières désignées d’appliquer des mesures de vigilance simplifiées lorsque les risques sont plus faibles [7] ».

Partant, on peut dire que l’approche fondée sur les risques a véritablement intégré le droit positif de la LCBFT avec la 4e directive Antiblanchiment (le 4e règlement également [8] ), qui ne se contente pas de l’évoquer vaguement dans des considérants (en l’espèce les considérants 22 et suivants) mais lui consacre une section « Évaluation des risques », composée des articles 6 (évaluation par la Commission), 7 (évaluation par les États membres) et 8 (évaluation par les entités assujetties) ; prescriptions de l’article 8 que l’on retrouve dorénavant largement inscrites dans le CMF.

Bienvenue, donc, à la notion d’approche fondée sur les risques. Le droit de la LCB-FT est trop souvent perçu, et vécu en pratique, comme excessivement lourd, tatillon et, pour tout dire, assommant. Si bien que l’entrée, dans le CMF, sous forme de principe général et directeur, de l’approche fondée sur les risques nous paraît un événement majeur. Ce disant, nous n’omettons pas combien un tel concept de « droit mou » pourrait être dangereux, comme peut l’être la notion d’accountability (ou de responsabilité) dans le règlement général sur la protection des données personnelles.

Certes, les articles L. et R. 561-1 et suivants du CMF continueront de poser un certain nombre d’exigences précises, propres à faire « pester » l’établissement financier assujetti, à la recherche de toujours plus de fluidité (digitale) de son « parcours client [9] ». Sauf que, désormais, l’« intelligence » de la LCB-FT s’invite à la discussion puisqu’un texte chapeau préside à l’édiction des obligations de vigilance à l’égard de la clientèle (CMF, art. L. 561-5 et s.) : l’article L. 561-4-1 nouveau. Le principe, simple mais inédit dans sa formulation autant que dans sa situation au sein de notre CMF, est celui-ci : les personnes assujetties appliquent les mesures de vigilance « en fonction de l’évaluation des risques présentés par leurs activités en matière de blanchiment de capitaux et de financement du terrorisme » (al. 1er). Il fallait, auparavant, attendre presque la fin (c’était trop tard), c’est-à-dire l’article L. 561-32 relatif aux procédures et au contrôle interne, pour que soit dit que les personnes assujetties « mettent en place des systèmes d’évaluation et de gestion des risques de blanchiment des capitaux et de financement du terrorisme » ; texte qui, dorénavant, s’écrit de la sorte : « Les personnes mentionnées à l’article L. 561-2 mettent en place une organisation et des procédures internes pour lutter contre le blanchiment des capitaux et le financement du terrorisme, tenant compte de l’évaluation des risques prévue à l’article L. 561-4- 1. En tenant compte du volume et de la nature de leur activité ainsi que des risques présentés par les relations d’affaires qu’elles établissent, elles déterminent un profil de la relation d’affaires permettant d’exercer la vigilance constante prévue à l’article L. 561-6 » (CMF, art. L. 561-32, I, al. 1er, nouv.).

Le moyen, maintenant : « À cette fin, elles définissent et mettent en place des dispositifs d’identification et d’évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées ainsi qu’une politique adaptée à ces risques. Elles élaborent en particulier une classification des risques en question en fonction de la nature des produits ou services offerts, des conditions de transaction proposées, des canaux de distribution utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire d’origine ou de destination des fonds » (CMF, art. L. 561-4-1, al. 2, nouv [10] .). En cela, et c’est tant mieux, l’ordonnance du 1er décembre 2016 fait remonter à un niveau supérieur (législatif ), les exigences de procédures et de contrôle interne jusque-là prévues dans la partie réglementaire du CMF (CMF, art. R. 561-38) ou à l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’ACPR ( art. 43 et s. [11] ).

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Myriam Roussille et Pierre Storrer.

1 Dir. (UE) 2015/849, 20 mai 2015, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme, accompagnée par Règl. (UE) 2015/847, 20 mai 2015, sur les informations accompagnant les transferts de fonds. 2 Entrée qui n’est guère saluée par le rapport au président de la République relatif à l’ordonnance du 1er décembre 2016, bien timide à cet égard. 3 Cf. FATF, Guidance for a risk-based approach, The banking sector, oct. 2014: « A RBA to AML/CFT means that countries, competent authorities and financial institutions are expected to identify, asses and understand the ML/TF risks to which they are exposed and take AML/CFT measures commensurate to those risks in order to mitigate them effectively », p. 5. 4 Les quarante recommandations du GAFI, oct. 2003, p. 6. 5 Dir. 2005/60/CE, 26 oct. 2005, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme, cons. 22. 6 Rapport au président de la République relatif à l’ordonnance n° 2009-104 du 30 janvier 2009 relative à la prévention de l’utilisation du système financer aux fins de blanchiment de capitaux et de financement du terrorisme. 7 Les recommandations du GAFI, févr. 2012, version mars 2016, p. 31. 8 Cf. P. Storrer, « Lutte antiblanchiment : le pas de deux du législateur européen », Revue Banque n° 786, juill.-août 2015, p. 72. 9 Cf. P. Storrer, « Pour la reconnaissance d’un KYC 100 % digital », RTDF n° 2, 2016, p. 64. 10 On notera que l’article L. 561-4-1 est complété par un 3e alinéa consacré aux situations des groupes, lui-même suivi d’un 4e dont on ne sait trop s’il s’applique à l’ensemble des personnes concernées par cet article ou seulement aux personnes appartenant à un groupe : « Pour l’identification et l’évaluation des risques de blanchiment des capitaux et de financement du terrorisme auxquels elles sont exposées, les personnes mentionnées ci-dessus tiennent compte des facteurs inhérents aux clients, aux produits, services, transactions et canaux de distribution, ainsi qu’aux facteurs géographiques, précisés par arrêté du ministre chargé de l’économie, ainsi que des recommandations de la Commission européenne issues du rapport prévu par l’article 6 de la directive 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, ainsi que de l’analyse des risques effectuée au plan national dans des conditions fixées par décret. » 11 Sur la méthodologie d’évaluation des risques, combinant trois facteurs : une menace, une vulnérabilité et des conséquences potentielles, on se reportera avec intérêt à Tracfin, Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2015, p. 4. Adde, Méthodologie d’évaluation de la conformité technique aux recommandations du GAFI et de l’efficacité des systèmes de LBC/FT, févr. 2013.