Un règlement : c’est une innovation majeure en matière LCB-FT. Le choix de l’instrument matérialise l’ambition de la Commission, elle qui jusqu’ici n’avait utilisé que des directives. Or, leur transposition en droit interne par les États membres se traduisait par une disparité mise en exergue par la Cour des comptes européenne dans son rapport spécial établi en 20211. La Cour faisait état « des efforts fragmentés et une mise en œuvre insuffisante » des règles LCB-FT au sein de l’Union. Ces quelques mots résument bien les défis à relever par le paquet UE LCB-FT. La Cour avait d’ailleurs recommandé l’utilisation d’un règlement plutôt qu’une directive. Elle a été entendue sur ce point par la Commission.
L’harmonisation des règles LCB-FT au sein de l’Union est une tâche complexe en raison de la particularité du dispositif LCB-FT. Il s’agit, en effet, de fixer un corpus réglementaire unique au sein de l’Union tout en conservant une approche par les risques, laquelle constitue le pilier fondamental du dispositif LCB-FT. La difficulté est de trouver la juste mesure entre la fixation de règles communes nécessaires à un cadre LCB-FT harmonisé au sein de l’Union tout en garantissant la souplesse indispensable pour appliquer ces règles suivant une approche par les risques.
Par ailleurs, l’approche « tick the box » doit être évitée à tout prix. Elle est, en effet, tout à fait inadaptée et peut même être source de risques. Cette approche consiste à appliquer les règles LCB-FT mécaniquement et de façon purement formelle, sans aucune appropriation ni adaptation de ces règles au profil de risque LCB-FT de la banque. Le danger est ainsi d’aboutir à une incapacité d’identifier et de maîtriser les risques LCB-FT réels générés par le modèle d’affaires de l’établissement assujetti.
Les ambitions de la Commission
Outre l’utilisation de l’instrument du règlement, l’ambition de la Commission se matérialise également par la diversité et la complexité des sujets traités par le règlement. Certains points structurants suscitent des craintes de la part des banques tels que la gouvernance en matière LCB-FT, les conditions relatives à l’externalisation, sans oublier les règles en matière de diligences KYC. En revanche, les banques espèrent beaucoup du règlement pour fixer des règles facilitant le traitement des données à caractère personnel et fluidifiant l’échange de données en dehors de l’Union.
Une harmonisation contraignante
pour les banques
Le règlement fixe, à ce stade, des règles plus restrictives que celles actuellement en vigueur en droit français, risquant ainsi de contraindre les banques, sur certains points, à des modifications parfois conséquentes dans leur dispositif interne, aussi bien au niveau structurel qu’au niveau du dispositif KYC ainsi qu’en matière d’externalisation.
Gouvernance duale : impact structurel
La Commission propose une gouvernance en matière LCB-FT très différente de celle actuellement en place dans les banques françaises.
Un dispositif LCB-FT robuste et efficace requiert une gouvernance solide et adaptée. Nul n’en disconvient. Toutefois, la fixation d’une gouvernance LCB-FT commune au sein de l’Union est une tâche ardue au regard de la diversité des formes sociales et organisationnelles (banques commerciales ou modèle coopératif et/ou mutualiste) des banques résultant de la disparité du droit des sociétés au sein de l’Union.
Le règlement fixe une gouvernance en matière LCB-FT qui se distingue de manière substantielle, et qui ne laisse pas d’interroger, de la gouvernance fixée par l’arrêté du 6 janvier 20212 (« Arrêté trans-sectoriel »), et l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 20213.
La Commission fixe une gouvernance composée du Compliance Manager et du Compliance Officer.
Intéressons-nous d’abord au Compliance Manager. Cette fonction doit être occupée par un « executive member of their board of directors », ou en son absence, « its equivalent governing body4 ». Les autorités françaises ont précisé que cette fonction devrait être occupée par un membre de l’organe de direction dans sa fonction exécutive correspondant à un dirigeant effectif.
Or, les missions confiées au Compliance Manager revêtent un caractère opérationnel qui semblent, à ce stade, peu adaptées pour un dirigeant effectif. Le Compliance Manager est responsable de la mise en œuvre du dispositif LCB-FT comprenant la mise en œuvre des procédures, contrôles et politiques en matière LCB-FT. Il devra être informé des dysfonctionnements ou incidents significatifs et il devra informer régulièrement le « board of director », dans sa fonction de surveillance, de la réalisation des travaux précités. Enfin, le Compliance Manager serait également responsable de la supervision des politiques, contrôles et procédures au niveau groupe.
Les missions attribuées au Compliance Manager présentent beaucoup de similitudes avec celles énumérées de manière non limitative par l’Arrêté trans-sectoriel5 attribuées au responsable de la mise en œuvre du dispositif LCB-FT. Si les missions sont similaires, le positionnement de cette fonction présente, en revanche, une différence substantielle par rapport au droit français. En effet, l’article L.561-32 du Code monétaire et financier (CMF) indique que le responsable de la mise en œuvre du dispositif LCB-FT (RMO) est une personne occupant une position hiérarchique élevée et possédant une connaissance suffisante des expositions au risque LCB-FT de l’entité. Le règlement attribue au dirigeant effectif des missions dévolues en droit français au RMO.
Si l’on perçoit clairement la volonté de la Commission d’impliquer davantage les dirigeants effectifs dans le dispositif LCB-FT, une attention particulière doit être portée pour leur attribuer des missions adaptées.
Ces missions opérationnelles pourraient davantage être exercées par le responsable de la fonction de vérification de la conformité doté d’une certaine indépendance et devant rendre compte de l’exercice de ses missions au dirigeant et à l’organe exerçant des fonctions de surveillance (Conseil d’administration ou Conseil de surveillance selon les cas).
Cela aboutirait à ce que la fonction de Compliance Manager soit occupée par le responsable de la fonction de vérification de la conformité tout en fixant des missions distinctes et adaptées au dirigeant effectif.
Le règlement prévoit également la désignation d’un Compliance Officer en charge de la mise en œuvre quotidienne du dispositif LCB-FT. Le Compliance Officer doit être désigné par « the board of directors or governing body » dans sa fonction de surveillance. Là encore, la gouvernance proposée doit être adaptée car les modalités de désignation ne sont pas pertinentes au regard des missions confiées au Compliance Officer. Reste à déterminer à quoi correspondrait cette fonction en droit français. On peut songer éventuellement au responsable désigné en matière de sécurité financière...
Il est important d’introduire un principe de proportionnalité constituant un des principes fondamentaux des arrêtés relatifs au contrôle interne applicable en droit français afin de moduler la gouvernance LCB-FT à mettre en place en prenant en compte la taille de l’entité, la nature et la complexité des activités ainsi que le risque généré par les activités et/ou les typologies de clients de l’entité.
Harmonisation contraignante en matière de diligences KYC
Les impacts opérationnels du relèvement des exigences en matière d’identification du bénéficiaire effectif (BE) sont significatifs.
Le règlement relève les exigences en matière d’identification du BE à double titre : (i) d’une part, par la collecte d’informations et de documents qui ne sont pas exigés par la législation française. Nous pouvons noter la collecte du passeport ou de la carte nationale d’identité du BE ainsi que le « tax identification number ». Ces informations et documents peuvent être difficiles à collecter en raison de l’absence de relation d’affaires avec le BE ; et (ii) d’autre part, par l’alignement des facteurs de risque à prendre en compte pour le BE avec ceux fixés pour le client. Nous pouvons relever notamment la prise en compte du facteur de risques relatif aux juridictions dans lesquelles le BE exerce ses principales activités. Ce facteur de risque s’applique au BE suivant les mêmes conditions que celles applicables au client. Ces éléments peuvent être collectés pour le client sans trop de difficultés, à la différence du BE au sujet duquel l’identification de ses activités est bien plus complexe en l’absence de relation d’affaires avec ce dernier. Notons également le risque relatif aux liens personnels pertinents entretenus entre le BE et le client qui risque d’être très difficile à identifier.
Ce relèvement des exigences du BE est également caractérisé par la proposition d’amendement figurant dans le projet de rapport du Parlement européen portant sur l’abaissement du seuil de détention en capital ou droits de vote de 25 % à 5 %. Or, le seuil de 25 % constitue un standard au niveau international appliqué par exemple en Chine6 et aux États-Unis7. L’abaissement de ce seuil pourrait mettre les banques situées dans l’Union dans une situation de distorsion concurrentielle.
Interdictions, tirant à conséquence, en matière d’externalisation
Cette harmonisation contraignante des règles LCB-FT se poursuit avec la fixation de deux interdictions en matière d’externalisation risquant d’avoir des impacts sensibles pour les banques y recourant.
La première porte sur l’interdiction d’externaliser les tâches relatives à la réalisation des diligences KYC à un agent ou à un fournisseur de service externe situé dans un pays hors de l’Union figurant dans une des listes dressées par la Commission (« Pays tiers »). En droit français, aucune disposition ne fixe une telle interdiction, préférant la mise en place de mesures d’encadrement fixées par l’Arrêté trans-sectoriel et l’arrêté du 3 novembre 2014 modifié par l‘arrêté du 25 février 2021 : insertion de clauses spécifiques dans le contrat d’externalisation, obligations spécifiques notamment de contrôles et notification à l’Autorité de contrôle prudentiel et de résolution lors de la mise en place de l’externalisation et en cas d’évolution importante de la prestation externalisée. Ces mesures d’encadrement permettent de prévenir et de gérer de manière optimale le risque LCB-FT du Pays tiers. Par ailleurs, l’entité située dans un Pays tiers doit réaliser les diligences KYC conformément à la procédure de l’entité délégante laquelle est soumise aux dispositions du règlement LCB-FT. Enfin, l’entité délégante, demeurant pleinement responsable des activités déléguées, doit réaliser des contrôles sur pièces et/ou sur place pour s’assurer de la réalisation des diligences KYC par l’entité.
Par ailleurs, le règlement ne prévoit pas, à ce stade, d’exception en cas de mise en place de cette externalisation entre entités appartenant à un même groupe, alors que le risque LCB-FT est ici maîtrisé par l’application des procédures de la maison-mère, située au sein de l’Union, aux entités du groupe situées dans un Pays tiers.
Le règlement fixe une seconde interdiction en matière d’externalisation, plus restrictive que le régime applicable en droit français, portant sur une liste de tâches LCB-FT ne pouvant en aucun cas être externalisées correspondant à l’attribution d’un profil de risque à un client, l’interdiction d’externaliser le contrôle interne et l’interdiction d’externaliser les déclarations de soupçons (DS), pour ne citer que celles-ci...
Cela est d’autant plus préoccupant que le règlement ne prévoit pas d’exception en cas d’externalisation entre entités appartenant à un même groupe.
Cette absence d’exception est source de risques car certaines entités de petite ou moyenne taille composant un groupe externalisent de nombreuses activités à la maison-mère, ou à une autre entité du groupe, en raison du manque d’effectif et/ou du manque d’expertise en matière LCB-FT. Une seule interdiction est en adéquation avec le droit français : il s’agit de celle relative à l‘externalisation de la réalisation des DS strictement interdite par l’article R. 561-38-2 du CMF. Toutefois, le droit français assouplit cette interdiction à l’article R. 561-28 du CMF en autorisant la désignation au sein d’un groupe d’un déclarant Tracfin commun aux différentes entités du groupe.
La Commission propose une harmonisation contraignante sur certains points mais reste sur une harmonisation inachevée sur des aspects qui, pourtant, contribueraient à prévenir et maîtriser le risque LCB-FT.
Une harmonisation inachevée : l’articulation
entre le RGPD et la LCB-FT, quelques avancées, mais peut mieux faire !
La grande déception porte sur les règles permettant l’articulation entre le RGPD et les exigences en matière LCB-FT.
La prévention et la maîtrise du risque LCB-FT requièrent la collecte et le traitement de données importantes afin d’appliquer les obligations LCB-FT. Cette collecte de données est étroitement surveillée par la CNIL en France et, plus largement au sein de l’Union, par les autorités locales de protection des données à caractère personnel. Il s’agit de trouver le juste équilibre entre le besoin de faciliter le traitement des données à caractère personnel dans le cadre de la finalité LCB-FT et la protection de la vie personnelle des personnes physiques dont les données sont traitées.
Juste équilibre qui, du point de vue du Contrôleur européen de la protection des données8 (CEPD), n’a pas, à ce stade, été atteint par le règlement. En témoigne la série de recommandations formulées par le CEPD pour encadrer davantage l’utilisation des données personnelles autorisée par le règlement, en limitant le traitement des données particulières (articles 9 et 10 du RGPD) et en restreignant l’accès au registre des bénéficiaires effectifs.
Saluons les quelques avancées apportées par la possibilité de traiter les catégories particulières de données personnelles figurant aux articles 9 et 10 du RGPD dans le cadre de la finalité LCB-FT. Concernant les données sensibles (article 9 du RGPD) pouvant être utiles en matière LCB-FT, nous pouvons relever les données relatives aux opinions politiques, aux convictions religieuses ou philosophiques ou l’appartenance syndicale, le traitement des données biométriques aux fins d’identifier une personne physique de manière unique. L’article 10 du RGPD permet, quant à lui, le traitement des données personnelles relatives aux condamnations pénales et aux infractions, répondant ainsi à une attente des banques.
Le règlement encadre, sans surprise, le traitement des données personnelles précitées notamment par l’information au client. Cela nécessitera une modification de la documentation contractuelle afin que la clause relative à la protection des données à caractère personnel précise le traitement des données relevant de ces deux catégories particulières. Par ailleurs, les données collectées et traitées dans le cadre du règlement ne pourront en aucun cas être utilisées à des fins de prospection commerciale.
La LCB-FT : une mission d’intérêt public
Cela permettrait de fonder la licéité du traitement des données personnelles sur la base légale de l’exécution d’une mission d’intérêt public constituant l’une des six bases légales prévues par le RGPD. L’utilisation de cette base légale simplifie considérablement le traitement des données par les banques et les échanges de données en dehors de l’Union par l’application de la dérogation prévue à l’article 49 du RGPD. Les banques ne seraient alors plus soumises aux nombreuses obligations afférentes. On pense, en particulier, à l’insertion de clauses-types spécifiques, à la mise en place de mesures de sécurité et, surtout, à l’obligation de vérifier que la législation et/ou la pratique du Pays tiers n’empiète pas sur l’efficacité des garanties contenues dans ces clauses ou, le cas échéant, dans les dispositifs de sécurité prévus par le RGPD et dont l’application stricte a été rappelée par l’arrêt Schrems II (CJUE 16 juillet 2020).
La qualification de mission d’intérêt public par le réglement constituerait un grand pas dans le sens de la simplification du traitement et des échanges de données indispensable à la LCB-FT aussi bien au sein qu’en dehors de l’Union.
La prévention et la maîtrise du risque LCB-FT requièrent, en effet, une coordination et une coopération forte des banques, aussi bien au sein qu’en dehors de l’Union, afin de déjouer les circuits LCB-FT de plus en plus complexes et mondialisés notamment par l’utilisation croissante de nouvelles technologies tels que les crypto-actifs.
