La publication, par l’Autorité de contrôle prudentiel et de résolution (ACPR) en 2022, a précisé une nouvelle version des lignes directrices consacrées à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) puis, à l’automne 2023, l’Autorité bancaire européenne (EBA) a indiqué ses orientations sur les solutions d’entrée en relation à distance.
L’identification du client, par la vérification d’un certain nombre de documents d’identité, permet de s’assurer que la personne qui ouvre le compte ou sollicite le service est bien celle qu’elle prétend être. Les fraudes dites « documentaires » se sont toutefois développées avec la dématérialisation des échanges, qui permet la création en masse de comptes avec de fausses identités. Ainsi, parmi les évolutions réglementaires récentes sur la vérification d’identité, une attention particulière a été portée aux entrées en relation à distance et à la mise en œuvre des modalités de vérification d’identité dans ce cas particulier. Dans le cadre du paragraphe 1°) de l’article R. 561-5-1 du Code monétaire et financier, par exemple, seuls les moyens d’identification certifiés ou attestés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) comme présentant un niveau de sécurité substantiel ou élevé peuvent être utilisés pour cette vérification. Plus généralement, comme le soulignent les orientations de l’EBA, les politiques et procédures des établissements en la matière doivent être adaptées aux risques, élaborées sous la responsabilité du responsable de la conformité en matière de LCB-FT, mais également faire l’objet d’une évaluation et d’un suivi permanent de la solution. Ainsi, en cas d’écarts par rapport aux attentes, l’établissement devra déployer des actions correctrices.
Proportionnalité
Le principe de proportionnalité s’applique également en termes de profondeur de la connaissance de la relation d’affaires. Cela recouvre les informations et justificatifs recueillis sur l’adresse, les activités professionnelles, la situation financière du foyer pour les personnes physiques ou de l’établissement pour les personnes morales, l’origine ou la destination des fonds.
Pour les personnes physiques, l’activité professionnelle et la situation financière (revenus et situation patrimoniale) sont des éléments d’information indispensables à l’exercice de la vigilance constante et à la surveillance des opérations. Ces informations permettront de s’assurer que les opérations réalisées sont en adéquation avec ce que l’établissement connaît de la relation d’affaires. Si le profil de risque d’une relation est élevé, la granularité des informations et les pièces justificatives à recueillir doivent être complétées, pour que l’établissement puisse comprendre effectivement les opérations réalisées. En cas de sommes transitant par les comptes nettement supérieures aux revenus connus, un examen renforcé de la situation du client pourra être justifié et le profil de risque du client ajusté, le cas échéant.
Dans le cas de relations d’affaires avec des personnes morales, les éléments d’information diffèrent par construction. Les éléments d’information à recueillir sont en principe l’adresse du siège social, l’objet social, le secteur d’activité, ainsi que la situation financière des personnes morales (par exemple les comptes annuels, la liasse fiscale). Les organismes financiers doivent tenir compte de l’objet social et du secteur d’activité, ainsi que de la situation financière du client pour définir le profil de risque de la relation d’affaires. Pour les sociétés nouvellement créées, des prévisions sur le bilan ou les volumes de facturation attendus pourront être collectés. Les informations relatives aux bénéficiaires effectifs, ou sur les liens avec d’autres tiers, tels que les mandataires ou tiers payeurs, sont également à recueillir.
Ces différentes informations sont par ailleurs indispensables pour identifier correctement les clients et les tiers, en vue de vérifier leur présence éventuelle sur des listes de gel des avoirs et d’interdiction de mise à disposition des fonds. Pour les structures complexes, des analyses complémentaires peuvent être nécessaires pour s’assurer de la correcte identification de toutes les parties liées.
Un autre point d’attention concerne les informations publiques. En effet, le suivi des informations négatives est complémentaire des éléments transmis par le client lui-même et les organismes doivent veiller à bien appréhender ces informations issues de source publique, par exemple pour identifier des risques de corruption ou de financement du terrorisme.
Externalisation
Dans les cas où l’établissement externalise auprès de tiers certaines tâches de ce type, il conserve néanmoins la responsabilité des diligences et activités de LCB-FT ainsi externalisées. Aussi son dispositif de contrôle interne, à la fois périodique et permanent, doit-il tenir compte du recours à ces prestataires externes pour instaurer un cadre adapté, ainsi que la mise en œuvre effective par les prestataires des mesures de vigilance externalisées.
Le recours à un agent par un prestataire de services de paiement ou à un distributeur par un émetteur de monnaie électronique est une forme d’externalisation. Les agents de services de paiement ou distributeurs de monnaie électronique sont d’ailleurs assimilés à du personnel de l’organisme financier dans le cadre de l’obligation de formation LCB-FT.
Plus généralement, les conditions et les modalités de l’externalisation sont définies dans le contrat de mandat conclu entre l’organisme financier et le prestataire externe, y compris les modalités d’accès aux informations permettant à l’organisme financier de se conformer effectivement à ses obligations déclaratives ou de gel des avoirs.
Classification
L’ensemble de ces mesures d’identification et de connaissance de la clientèle doit permettre aux établissements de répondre à leurs obligations en matière de déclarations de soupçons et de rupture de la relation d’affaire le cas échéant, conformément à l’article L. 561-8.
La classification des risques, sur laquelle se fonde l’approche proportionnée dans la connaissance de la clientèle, joue également un rôle préventif. En effet, comme indiqué à l’article de l’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne, préalablement au lancement de nouveaux produits, services ou pratiques commerciales, les organismes doivent identifier et évaluer les risques de BC-FT qui leur sont liés, afin de prendre des mesures appropriées pour gérer et atténuer ces risques, y compris en collectant davantage d’éléments de connaissance auprès de la clientèle qui a recours à ces produits ou services plus risqués. Cette classification doit être régulièrement actualisée.
Ainsi, si les risques rencontrés en pratique se révèlent supérieurs à ceux prévus, les organismes doivent être en mesure de réagir rapidement, par exemple en suspendant ou restreignant les opérations concernées. Le suivi d’indicateurs appropriés et l’implication de chaque échelon de la gouvernance sont également des points d’attention.
L’identification et la connaissance de la clientèle sont le socle sur lequel s’appuie le dispositif de LCB-FT et de gel des avoirs des établissements, notamment pour apprécier les risques associés et déployer des mesures proportionnées et efficaces. La prise en compte de cet enjeu clé au sein du dispositif de contrôle interne est donc tout aussi importante, en particulier en cas d’externalisation.
