LCB-FT : l’enjeu de la donnée pour les banques

Avec la mise en œuvre du nouveau cadre européen relatif à la lutte contre le blanchiment d’argent et le financement du terrorisme, les banques ont besoin de processus solides, de technologie en ligne avec les avancées législatives, et surtout, de données de haute qualité pour réduire leur exposition inhérente aux risques et se conformer pleinement à la réglementation. Tout échec d’implémentation est susceptible d’entraîner des sanctions financières, un risque réputationnel fort et des pertes d’activité. À l’heure de la publication de cet article, 70 % des cas dans la base EuReCA, la base de données antiblanchiment de l’Autorité bancaire européenne (EBA), au titre de l’article 9a (1) et (3) du règlement EBA, sont liés à des faiblesses des dispositifs de contrôle de connaissance client et tiers. C’est pourquoi une approche proactive de renforcement de cette donnée est essentielle avant 2027.

La promotion par l’Union européenne (UE) de la standardisation des cadres communs de lutte contre le blanchiment d’argent (LCB) constitue un véritable progrès pour les banques. Notamment la nouvelle FIU.net, pour Financial Intelligence Unit, structure coordonnant les cellules de renseignement financier (CRF) des États membres, à l’instar de Tracfin en France. Elle transforme la surveillance de la lutte contre le blanchiment d’argent et crée une boucle de feedback (rétroaction dynamique) entre les CRF et les entités surveillées. Les processus de connaissance permanente et en temps réel du client (pKYC) doivent s’en trouver renforcés.

Sous la supervision de l’Autorité de lutte contre le blanchiment (ALMA), ce système intègre trois composantes essentielles. D’abord, des renseignements sur les risques en temps réel. FIU. net permet le partage transfrontalier de rapports d’activités suspectes anonymes et de typologies entre 30 CRF et Europol. Ces données alimentent également les lignes directrices de l’ALMA en matière de supersivion. Les banques pourront ainsi ajuster les paramètres KYC (Know Your Customer) de manière dynamique sur la base des modèles émergents de blanchiment de capitaux et de financement du terrorisme (ML/TF). Il est attendu des entités obligées d’engager dans ce process de feedback avec les CRF. Les entités supervisées reçoivent des alertes automatiques sur les transactions ou les entités à haut risque par le biais des intégrations FIU.net. Cela déclenche des examens pKYC obligatoires, conformément aux exigences de l’article 26 du nouveau Règlement européen sur la lutte contre le blanchiment d’argent (AMLR). Enfin, l’analyse collaborative : l’AMLA coordonne les analyses conjointes des CRF sur les schémas de blanchiment transfrontaliers, dont les résultats sont directement intégrés dans les systèmes de surveillance des transactions des banques.

Dans le cadre du nouveau paquet AML, l’AMLR impose des exigences renforcées en matière de vigilance à l’égard de la clientèle et de vérification de la propriété effective dans l’ensemble de l’UE. Il impose également de signaler les divergences entre les registres internes et les registres officiels des sociétés, tout comme il introduit des règles plus rigoureuses en matière d’externalisation et de déclaration d’activités suspectes. Les éditeurs de données et d’analyse transforment leur offre pour continuer de favoriser une intégration effective de cette donnée et une explicabilité continue des modèles, supportant des dispositifs de contrôles efficients dans un contexte réglementaire de responsabilité individuelle des dirigeants. La transformation appelle l’innovation. L’article 26 du règlement AMLR introduit le concept d’un processus perpétuel de connaissance du client (pKYC), enfin rendu possible par les innovations techniques récentes. Il prévoit que l’intervalle entre les mises à jour des informations sur les clients ne dépasse pas un an pour les clients à haut risque et cinq ans pour les clients à faible risque. En plus de ces mises à jour régulières, une surveillance continue est requise en fonction de plusieurs facteurs déclencheurs, tout changement matériel dans la situation d’un client ou tout fait nouveau le concernant, les mises à jour relatives aux changements de bénéficiaires ou encore la nécessité de se conformer aux sanctions internationales par extension. Ces facteurs de risque dynamiques renforcent les exigences en matière de diligence raisonnable.

Les entités transfrontalières placées sous la supervision directe de l’AMLA ont été ou vont être intéressées à renforcer leur couverture de traitement direct (STP), pour les clients à faible risque notamment, en utilisant certains points de données pré-identifiés. La qualité de la donnée et son intégration font, dans ce cadre, l’objet d’une attention particulière.

Le secteur a fait des progrès dans l’automation avec le machine learning. Le développement agentique permettant un KYC perpétuel devient Également enfin véritablement possible. Il est intégré dans le cycle de vie client/tiers de bout en bout, de la vérification d’entité à la création de suites d’agents pour filtrage (sanctions, personnes politiquement exposées, média, etc.), à la réduction de faux positifs, mais aussi la création de rapports GenAI (Enhanced Due Diligence, déclaration de soupçon), pour ne citer que quelques exemples de contrôles dont l’efficacité et l’efficience se trouvent renforcées, à condition qu’une gouvernance adéquate permette une explicabilité forte.

Avant de passer le relais à l’AMLA, l’EBA a d’ores et déjà publié des standards techniques réglementaires quant à ce nouveau cadre de lutte contre le blanchiment d’argent et le financement du terrorisme et de la loi sur la lutte contre le blanchiment d’argent et à sa nécessaire harmonisation. Une consultation sur ces standards vient de se clore. Quelques points sont à souligner. Une méthodologie commune d’évaluation des risques pour les autorités de surveillance de la lutte contre le blanchiment de capitaux et le financement du terrorisme doit établir des processus communs de collecte de données dans toute l’UE, permettant une approche standardisée pour les institutions financières, fournissant un cadre réglementaire unifié. Les standards proposés par l’EBA comprennent un engagement en faveur d’une harmonisation maximale entre les autorités, les États membres et les secteurs. Cela implique de s’appuyer sur les standards de l’EBA et de s’aligner sur les recommendation supranationale en matière de lutte contre le blanchiment d’argent et le financement du terrorisme. L’EBA a développé une approche proportionnée et basée sur le risque, garantissant la neutralité technologique.

Les organismes professionnels de l’UE et du Royaume-Uni travaillent à une plus grande normalisation et à une plus grande transparence en matière d’accès et de partage des données au-delà des frontières même de l’UE. Objectif : accroître l’efficacité de la lutte contre la criminalité financière. Tel a été notamment le cas du travail accompli par l’Europol Financial Intelligence Public Private Partnership (EFI PPP) et le britannique CFIT (Centre for Finance, Innovation and Technology).

Cette harmonisation aide les institutions financières et leur écosystème à renforcer la vérification des entités, l’intégration de la donnée dans le suivi des clients et des tiers. Des objectifs harmonisés favorisent l’automatisation de contrôles manuels résiduels et le déploiement de processus et d’outils. Identifier et réduire l’exposition aux risques plus rapidement et renforcer les pistes d’audit dans une approche de contrôle des coûts, sont deux attentes de l’industrie. Si la triangulation des données n’est pas un concept nouveau, elle remodèle aujourd’hui la vérification des entités en remplaçant des informations autodéclarées par une validation multi-sources, sous l’impulsion des exigences réglementaires et des avancées technologiques. Cette évolution permet de remédier aux faiblesses des processus traditionnels de connaissance du client, où le fait de s’appuyer sur des informations non vérifiées favorise des risques de fraude.

Les standards de l’EBA pour l’AMLA proposent de renforcer les données autodéclarées par le biais de triangulation de sources externes. Notamment pour la vérification d’entités. Le texte exige la confirmation des attributs des données à partir de deux sources indépendantes ou plus, par exemple, une base de données nationale et les bases de données fournisseurs. Les entités soumises à l’obligation doivent désormais utiliser plusieurs sources pour vérifier les informations relatives à la propriété effective, et non plus seulement les registres centraux. Cela signifie qu’elles ne peuvent pas se satisfaire d’une seule source déclarative ; elles doivent procéder à des vérifications croisées avec d’autres sources fiables. Autre changement : le calcul direct et indirect de la propriété effective. Cette fois, il s’agit de normaliser la méthodologie dans les États membres de l’UE pour remplacer les différentes pratiques nationales. L’élément clé est la méthode de multiplication et d’addition pour le calcul de la propriété indirecte. L’AMLR introduit la méthode de multiplication pour le calcul de la propriété indirecte, ce qui réduit l’ambiguïté et le risque de sous-déclaration par les entités. Par exemple, si l’on détient 30 % de la société A, qui détient 40 % de la société B, la participation indirecte dans la société B sera de 30 % x 40 % = 12 %. Si chaînes il y a, on les additionne.

Les outils d’intégration des données en temps réel et les solutions automatisées sont essentiels pour accroître la rapidité et l’efficacité des processus de gestion des risques et de conformité, tout en contrôlant les coûts. Ces technologies permettent de consolider les profils de risque en une source unifiée, allant au-delà de la lutte contre le blanchiment d’argent et le financement du terrorisme pour évaluer des facteurs tels que l’exposition aux sanctions et les indicateurs de risques de travail forcé (i. e. human trafficking), ou crimes environnementaux (eg. wildlife trafficking). Il existe au moins 22 typologies de crimes premiers au blanchiment d’argent. L’automatisation doit donner aux entreprises la possibilité de libérer un temps d’analyse précieux et de réagir rapidement au risque d’exposition. Il s’agit de dépasser des processus manuels, peu consitents et lents. C’est particulièrement important lorsque des décisions doivent être prises dans des délais très courts, onboarding, paiement instantané. Une action rapide peut aider à faire face aux menaces avant qu’elles n’alourdissent le coût des opérations. Des processus plus rapides peuvent également attirer des clients autrement dissuadés par une intégration itérative et inefficace. L’automatisation est ainsi un avantage pour les banques et institutions financières (NBFIs) : les données de Moody’s montrent que l’onboarding d’une société ne comptant que deux directeurs peut nécessiter la saisie de plus de 100 champs de données. L’EBA fait état en juin 2025 d’une analyse KYC dans les 27 États de l’EU allant de 23 à 5 000 points de données, pour une moyenne de 120 points. Il est estimé que la standardisation apportée par les RTS tire le nombre de points de données par KYC à une moyenne européenne à 270 points.

L’efficacité de toutes ces mesures de conformité et de réduction des risques et dépend de l’accès à des données de haute intégrité, sans lesquelles même les meilleurs outils et procédures s’avèrent insuffisants. En intégrant des sets de données de haute intégrité, les banques peuvent évaluer plus rapidement et plus efficacement les clients potentiels, existants et leurs tiers, sur base de leur exposition effective aux risques de LBC/FT.

Toutes décisions prisent dans le respect des standards en matière de gestion des risques s’en trouvent renforcées. Cet engagement qualitatif permet également aux entreprises de s’adapter plus rapidement aux changements d’exigences réglementaires. Les progrès de l’intelligence artificielle générative (GenAI) peuvent encore renforcer les défenses, en facilitant la compilation de points de données, l’intégration et l’exploration d’un large éventail d’information afin d’identifier avec précision, les menaces, comportements, indicateurs qui autrement passent inaperçus. Les organisations bien gérées, dotées de systèmes de conformité unifiés liés à un ensemble de données de qualité (Master Data Management), peuvent détecter tout changement suspect en continu, sans attendre une revue, et déterminer ainsi à tout moment l’exposition réelle au risque de son portefeuille client et tiers.

Les points de données à surveiller pour détecter les changements après l’intégration peuvent inclure les adresses enregistrées, les noms des bénéficiaires et contrôleurs, des directeurs, les noms légaux, la nature de l’activité, les numéros d’identification et d’impôt, les rapports de média défavorables et les listes de sanctions ou les listes de personnes politiquement exposées, sans délai (near real term). En cas de changement, des alertes automatisées, entraînent une réponse dynamique. Les divergences et inconstances déclenchent des examens pKYC, sur ces points de donnée, ou l’ensemble de la relation, en fonction de règles misent en place, explicables et auditables, en accord avec l’article 26, de l’ALMR. Un grand nombre des exigences de l’AMLR sont issues d’une analyse de l’évolution des risques, mais également de bonnes pratiques issues de la lutte de chaque jour, de notre industrie, contre les crimes financiers et organisés. Les banques sont en première ligne, par la mise en place des processus et des outils robustes afin d’assurer la conformité LCB-FT. Nous observons tous qu’une meilleure gestion des risques implique le besoin d’une efficacité accrue des contrôles existant, d’une intégration forte de la donnée, afin que son utilisation puisse dépasser les silos. Cela renforce la gouvernance des organisations et participe également à leur rentabilité.

Alors que le parquet européen (EPPO, European Public Prosecutor’s Office) enregistre une hausse des signalements de crimes financiers de 56 % sur un an en 2024, pour des dommages estimés à plus de 13 milliards d’euros, l’engagement des banques dans la préparation à la supervision par l’AMLA s’établit déjà dans l’intégration accrue de la donnée interne et externe, vérifiée, pour une plus forte irrigation des dispositifs de contrôles de gouvernance et des modèles sous-jacents.