Depuis le 1er janvier 2001, les établissements assujettis à la lutte contre le blanchiment et financement du terrorisme (LCB-FT) se livrent chaque année à l’exercice réglementaire du questionnaire Lutte antiblanchiment (QLB). Bien connu des responsables du pilotage de la sécurité financière, il est régi par une instruction émanant de l’Autorité de contrôle prudentiel et de résolution (ACPR). La dernière version de cette instruction, n° 2022-I-18, sera applicable au 1er janvier 2024.
Le nouveau QLB comporte 392 questions, contre 175 dans la précédente version. Si la liste des établissements assujettis au QLB reste inchangée, certains pourront désormais compléter un QLB qualifié d’ « allégé » au regard du nombre de questions. La possibilité de compléter cette version du questionnaire dépendra du type de services qu’ils fournissent, de leur taille ou de leur structure.
Ainsi, les organismes dont les activités durant la dernière année consistent exclusivement en du cautionnement, de l’affacturage ou de la réception, transmission et exécution d’ordres ou gestion de portefeuille pour le compte de clients institutionnels au sein de l’UE/EEE, pourront compléter un questionnaire allégé. Les établissements de crédit, les sociétés de financement, les établissements de paiement et les établissements de monnaie électronique devront compléter le QLB général (voir infographie).
Des données très précises
Les évolutions majeures portent sur de nouvelles données à collecter pour compléter les différents tableaux du questionnaire et sur le caractère plus précis de certaines questions. Par exemple, les établissements sont interrogés sur l’organisation des procédures, de façon à permettre un accès rapide et aisé aux personnes concernées, et non plus seulement sur leur accessibilité.
De même, les questions relatives à la formation et l’information ont été enrichies par des informations sur le pourcentage de collaborateurs formés ayant dû valider les connaissances par un test ou le nombre d’heures de formation moyen dispensé. Les questions relatives à la gouvernance ont également été renforcées sur les aspects de reporting d’indicateurs clés sur le dispositif LCB-FT transmis à l’organe de surveillance et de participation active des responsables du dispositif LCB-FT, du contrôle permanent LCB-FT et du contrôle périodique à l’organe de surveillance.
Le volet consacré au dispositif de contrôle interne, renforcé par l’arrêté du 6 janvier 2021, a également été étoffé. Les établissements doivent communiquer sur les résultats des contrôles de second niveau menés sur le caractère adapté et la correcte mise en œuvre de la classification des risques, des modalités de détermination du profil de risque BC-FT des clients en relation d’affaires, des politiques et procédures de suivi et d’analyse des relations d’affaires, y compris la surveillance des transactions, des politiques et procédures relatives aux déclarations de soupçon, notamment.
Il est également demandé au responsable du contrôle périodique de se positionner sur son appréciation qualitative des éléments du dispositif LCB-FT listés ci-dessus et de renseigner la date du dernier rapport.
Ces questions précises et détaillées sur le dispositif de contrôle permanent et périodique devraient tendre à renforcer les contrôles et, sûrement, la fréquence et la profondeur des missions de contrôle périodique.
En complément des informations sur le dispositif de contrôle interne, les volets relatifs à la tierce introduction et à l’externalisation des obligations relatives à la LCB-FT ont été renforcés de façon importante : l’établissement devra se positionner sur la réalisation de contrôles sur place auprès du tiers et la revue d’un échantillon de tests.
En ce qui concerne le questionnaire dédié au prestataire de services de paiement (PSP) et prestataire de services d’investissement (PSI), les nouvelles données à reporter sont parfois très précises et vont nécessiter des analyses et des contrôles spécifiques. Il en sera ainsi des données telles que le nombre de clients (personnes physiques) dont le compte de dépôt ou de paiement fonctionne comme un compte principal, le montant des opérations (entrantes et sortantes) durant le dernier exercice sur les comptes de dépôt et de paiement tenus par le PSP pour des clients classés en risque élevé ou encore le nombre d’entrées en relation d’affaires des entreprises et des associations qui ne sont pas toujours en « lecture directe » dans les systèmes.
Pour l’assurance vie, le questionnaire se structure autour de l’activité d’épargne, des canaux de distribution, des modalités de versement des primes, de l’identification et la vérification d’identité du bénéficiaire des contrats d’assurance vie ou de capitalisation, notamment. Le questionnaire a été complété, par exemple, par le nombre d’alertes et de déclarations de soupçon sur des opérations où le motif d’origine des fonds est une « donation ».
Des évolutions importantes
Les impacts opérationnels pour les établissements seront nombreux s’ils veulent avoir la capacité de produire un reporting fiable dans le temps imparti. En effet, plusieurs évolutions devraient être initiées au sein des établissements.
Il leur faudra tout d’abord mettre en place un dispositif de contrôle robuste pour encadrer le processus de production du reporting. Le nombre conséquent de nouvelles questions et leur extrême précision vont nécessiter la mise en place de contrôles de premier et second niveaux pour fiabiliser les données et s’assurer de leur cohérence.
Les reportings auront également besoin d’être adaptés. Les nouvelles données recensées dans le QLB devraient être intégrées aux tableaux de bord du département en charge de la sécurité financière. En effet, cela permettrait d’intégrer ces données dans les chaînes de traitement des reportings aux instances de pilotage et d’automatiser la production des indicateurs clés. Dans certains établissements, cela pourrait conduire à la création ou à l’enrichissement d’un datalake dédié à la sécurité financière.
Les établissements auront tout intérêt à conduire une véritable stratégie autour de la donnée. Les modifications apportées au QLB mettent en évidence le souci de l’ACPR de promouvoir une analyse « data-driven » sophistiquée qui permette de conduire et de renforcer l’approche par les risques. Cela permettra également d’améliorer la détection des opérations suspectes.
Ces évolutions n’iront en outre pas sans un accroissement du partage d’information. La mise en œuvre de ces nouvelles questions du QLB va ainsi concourir à accroître la coopération et le partage d’information au sein des établissements et notamment, en ce qui concerne les différents corps de contrôle qui doivent se prononcer de façon précise sur l’efficacité du dispositif LCB-FT.
Enfin, les exigences de reporting vis-à-vis des prestataires de services devront être approfondies. Ce QLB traduit bien la préoccupation grandissante des superviseurs de renforcer le cadre de l’externalisation de services ; et ce notamment pour le dispositif LCB-FT. La complétude de ce reporting réglementaire pourrait permettre aux établissements d’obtenir plus d’informations sur les contrôles permanents réalisés par leurs prestataires internes ou externes.
Ainsi, les travaux sur le QLB risquent de mobiliser fortement les départements « sécurité financière » et l’ensemble des parties prenantes au dispositif LCB-FT. Ils devraient être envisagés comme une opportunité d’améliorer l’efficacité du dispositif.
