L’arrêté du 6 janvier 2021, applicable en France, notamment aux établissements de crédit, sociétés de financement, entreprises d’investissement, établissements de paiement et monnaie électronique, mais aussi aux sociétés d’assurance et pour une grande partie du texte, aux PSAN et intermédiaires en assurance a apporté des précisions importantes, tout en élargissant le périmètre des établissements soumis à un socle de contrôle interne rigoureux.
Le rôle du responsable de la LCB-FT
« Il valide la classification des risques [...] et la communique à l’organe de surveillance, notamment après chaque mise à jour ; Il valide les procédures internes [...] en veillant à ce que des procédures d’échange d’informations et des procédures d’escalade permettent de s’assurer de la transmission effective et rapide, aux personnes participant à la mise en œuvre des obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme, des informations nécessaires pour l’exercice de leurs missions.
Il s’assure de la mise en place, par les filiales et succursales de l’organisme assujetti établies à l’étranger, de dispositifs de contrôle de la conformité de leurs opérations aux règles locales en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs, et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques. Le responsable veille à la mise en place, selon des modalités adaptées à l’organisation de l’organisme assujetti et en tenant compte, le cas échéant, de son appartenance à un groupe, des procédures de centralisation ou de coordination des informations relatives aux éventuels dysfonctionnements dans la mise en œuvre effective des obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme. Il est informé des dysfonctionnements. »
Les dispositifs d’alertes à mettre en place ont également été précisés dans cet arrêté. Le dispositif doit permettre de :
– détecter les opérations atypiques ou suspectes au regard, le cas échéant, du profil des relations d’affaires, sur la base de critères et de seuils de significativité ;
– traiter les alertes, sur la base d’une analyse documentée, qui donnent lieu à un classement sans suite dûment motivé, à un examen renforcé ou à une déclaration de soupçon.
Sur ce dernier point, d’immenses progrès restent encore à réaliser par les établissements financiers. Les classements sans suite devant être documentés, il est particulièrement important de justifier la raison pour laquelle ces alertes ne donnent pas lieu à déclaration de soupçon.
Or, souvent, les établissements financiers génèrent des stocks d’alertes non traitées, qui sont sources de risques réglementaires et de sanctions. Les solutions à apporter pour limiter ces stocks d’alertes non traitées reposent sur un meilleur calibrage des alertes existantes mais aussi sur le développement d’outils basés sur des algorithmes d’intelligence artificielle pour aider à clôturer à bon escient les « fausses » alertes.
C’est une combinaison de ces deux mesures qui permettra d’éviter de mobiliser de trop nombreux analystes conformité sur des fausses alertes tout en leur laissant le temps nécessaire pour mieux formaliser et documenter les clôtures d’alertes pertinentes.
Le contenu des procédures a également été précisé par cet arrêté. Il faudra a minima que ces procédures détaillent les modalités d’élaboration de la classification des risques, les mesures de vigilance mises en œuvre à l’égard de la clientèle, notamment les modalités d’identification et de vérification de l’identité des clients et de leurs bénéficiaires effectifs ainsi que les mesures de vigilance requises en fonction du profil de risque de chaque relation d’affaires.
Là encore, cette précision était importante : trop souvent, les diligences à réaliser envers les clients telles qu’elles sont présentées dans les procédures, sont totalement déconnectées de leur profil de risque. Le souhait des établissements de disposer d’un questionnaire client facilement utilisable pousse souvent à collecter les mêmes documents pour l’ensemble des clients, ce qui n’est pas compatible avec une approche par les risques.
En matière de gel des avoirs, les procédures internes doivent également prévoir, selon ce même arrêté du 6 janvier 2021 :
« 1. Les modalités d’analyse des alertes, notamment les informations à recueillir et leurs modalités de conservation, y compris lorsque l’alerte a été classée sans suite ;
2. Les modalités de mise en œuvre des mesures de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques ;
3. Les modalités de levée de ces mesures ;
4. Les modalités d’information du ministre chargé de l’économie. »
Enfin, l’arrêté a également obligé les établissements assujettis à désigner un responsable du contrôle permanent de la LCB-FT et une personne responsable du contrôle périodique de la LCB-FT. La désignation de ces responsables doit faire l’objet d’une information à l’organe de surveillance et à l’ACPR et l’organe de surveillance doit également avoir communication des évolutions de la classification des risques et de la politique LCB-FT.
Les risques liés aux crypto-actifs
Depuis la loi PACTE, les PSAN (prestataires de services sur actifs numériques) doivent disposer d’un enregistrement AMF lorsqu’ils fournissent des services de conservation pour le compte de tiers ou d’accès à des actifs numériques, d’achat ou de vente d’actifs numériques en monnaie ayant cours légal, d’échange d’actifs numériques contre d’autres actifs numériques et d’exploitation d’une plateforme de négociation d’actifs numériques.
L’ACPR et la DGT ont diffusé en novembre 2022, une position sectorielle sur les dispositifs spécifiques à mettre en place sur la LCB-FT. Ce document vise à faciliter l’élaboration et la mise en place par les prestataires de services sur actifs numériques (PSAN) de leur système préventif LCB-FT et de leur dispositif de gel des avoirs.
Cette position sectorielle précise notamment que les PSAN doivent prendre en compte, pour élaborer leur classification des risques :
« – les recommandations de la Commission européenne mentionnées dans son analyse supranationale des risques, fondée notamment sur l’avis de l’Autorité bancaire européenne sur les risques de BC-FT affectant le système financier ;
– les facteurs de risque mentionnés aux annexes II et III de la 5e directive LCB-FT ;
– l’analyse nationale des risques élaborée dans le cadre du Conseil d’orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme (COLB), ainsi que l’analyse sectorielle de l’ACPR, qui en est la déclinaison dans le secteur financier ;
– les informations diffusées par le ministre chargé de l’économie ;
– les informations diffusées par Tracfin, en particulier ses rapports d’activité et d’analyse ;
– les informations diffusées par le Groupe d’action financière (GAFI), telles que le rapport du GAFI sur les typologies de blanchiment de capitaux et de financement du terrorisme impliquant des actifs virtuels ;
– les publications de l’Organisation de coopération et de développement économique (OCDE) et de l’Union européenne. »
Comme le précise cette position sectorielle, les PSAN sont également exposés à des risques spécifiques ou accrus liés à la nature de leur activité. Ils doivent ainsi prêter une attention particulière :
« – aux fonds susceptibles de provenir d’un piratage de plateformes d’achat d’actifs numériques (hack), d’un vol de portefeuilles d’actifs numériques, d’un rançongiciel ou d’escroqueries (telles que des exit scams) ;
– aux opérations réalisées sur le darkweb (achat d’armes, trafic de stupéfiants, pédopornographie, achat de faux titres d’identité, etc.) ;
– aux opérations de collecte ou de transfert de fonds à des fins de financement de terrorisme. »
Cette position sectorielle a par ailleurs le mérite de donner une illustration de classification des risques adaptée à cette activité très particulière.
Les innovations dont le secteur financier est friand devraient s’accompagner plus souvent de soft law pragmatiques comme cette position sectorielle récente, permettant d’éclairer les modalités pratiques d’application de ces textes LCB-FT foisonnants et complexes, notamment pour les fintechs venant souvent du monde de la technologie et non du monde régulé.
