Comment l’ACPR
veille sur les vulnérabilités
du secteur financier

L’article 48.6 de la directive relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme demande aux États membres de veiller à ce que les autorités de supervision compétentes « fondent la fréquence et l’intensité de la surveillance sur site et hors site sur le profil de risque des entités assujetties et les risques de blanchiment de capitaux et de financement du terrorisme existant dans cet État membre ». Transposées en droit français par l’article L. 561-36-1 du Code monétaire et financier, ces dispositions ont fait l’objet d’orientations de l’Autorité bancaire européenne (EBA).

L’Autorité de contrôle prudentiel et de résolution (ACPR) met en œuvre une approche de supervision par les risques, qui a été jugée robuste par les évaluateurs du Groupe d’action financière (Gafi) lors de l’évaluation de la France conduite en 2021-2022. La méthodologie de détermination du profil de risque blanchiment de capitaux-financement du terrorisme (BC/FT) des organismes supervisés s’appuie sur une échelle de notation à quatre niveaux, comme le prévoient les orientations de l’EBA. Cette évaluation porte tant sur l’exposition au risque que sur la qualité des dispositifs LCB/FT de chacun de ces organismes. Elle informe l’intensité de supervision appliquée à chaque organisme, également déclinée en quatre niveaux (allégé, standard, renforcé et intensif). Certains secteurs soumis au contrôle de l’ACPR, tels que ceux des intermédiaires, font l’objet d’une approche différente, adaptée au grand nombre d’organismes et à leur taille souvent réduite.

L’approche par les risques fait l’objet d’aménagements périodiques. En 2022, l’élaboration d’un nouveau questionnaire annuel spécifique à destination de la population des prestataires de services sur actifs numériques (PSAN), les révisions du questionnaire annuel visant les changeurs manuels et de celui concernant les organismes du secteur de la banque et de l’assurance se sont inscrites dans cette démarche d’approfondissement de l’approche par les risques. En particulier, la révision de ce dernier questionnaire vise à collecter davantage d’information permettant d’apprécier le niveau de risque et à faire varier le nombre de questions selon les activités exercées. Elle entend aussi répondre à certaines recommandations formulées par le Gafi lors de l’évaluation de la France, notamment pour les entités étrangères des groupes français.

L’Analyse nationale des risques (ANR) est un outil important pour l’ACPR, car elle aide à moduler l’intensité de la supervision en fonction des risques et à allouer plus de ressources là où ils sont plus élevés. L’ACPR s’est donc fortement engagée dans la révision de l’ANR réalisée sous l’égide du Conseil d’orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme (COLB) et publiée en janvier 2023.

Pour l’évaluation des risques de BC/FT du secteur financier sous son contrôle, l’ACPR s’est appuyée sur les travaux en cours afin d’actualiser sa propre analyse sectorielle des risques (ASR). Elle a combiné les informations des autres membres du COLB avec les résultats de ses propres travaux de supervision, notamment l’évaluation d’environ 1 200 organismes financiers et les enseignements tirés des 110 contrôles effectués au cours des trois dernières années.

La nouvelle méthodologie de l’ANR permet une appréciation plus fine du risque. Alors que dans l’ancienne évaluation à trois niveaux, six secteurs financiers apparaissaient au niveau « élevé », le plus haut, seuls les émetteurs de monnaie électronique (EME), les transmetteurs de fonds ainsi que les actifs numériques sont évalués au niveau « très élevé » dans la nouvelle échelle à quatre niveaux. Parmi les éléments qui ont conduit à cette cotation, on note que les EME ont reçu plus de 21 % du montant des virements frauduleux déclarés à la Banque de France au premier semestre 2021 par le prestataire de la victime de la fraude, alors qu’ils représentent moins de 0,1 % du montant des virements en France. Les contrôles auprès de transmetteurs de fonds montrent des défaillances importantes dans celui de leur réseau d’agents. Deux des premiers contrôles sur place de PSAN se sont conclus par une radiation de l’organisme contrôlé. Il est toutefois important de garder à l’esprit que tous les organismes n’ont pas le même niveau de risque, y compris au sein d’une même catégorie. Chez les PSAN, par exemple, les modèles d’affaires sont très variés, et les risques peuvent être très différents, en fonction des actifs numériques proposés.

L’ANR est un guide précieux pour tous les organismes financiers, mais chacun doit mener sa propre évaluation des risques, en fonction de ses circonstances, de ses produits et de sa clientèle. Les organismes sont également invités à tenir compte des publications de l’EBA, qui actualisera d’ailleurs son opinion sur les risques de BC/FT affectant le secteur financier de l’UE en 2023.

L’ACPR mettra aussi à jour dans les prochains mois son analyse sectorielle, plus détaillée, destinée à compléter l’analyse nationale, avec notamment des statistiques et des exemples supplémentaires. Il est ainsi prévu d’enrichir le document d’une section sur la corruption et les atteintes à la probité, en s’appuyant sur les travaux de l’Agence française anticorruption, ainsi que de sections sur le risque de prolifération, la criminalité environnementale, la cybercriminalité et le risque de fraudes et d’usurpations d’identité. L’ACPR constate une augmentation de ces dernières. Le risque est élevé pour les entrées en relations à distance et plus généralement lors de l’ouverture de comptes de paiement ou de dépôt pour de nouveaux clients. Il est particulièrement marqué lors du démarrage de l’activité d’un nouvel acteur ou le lancement de nouveaux produits par un acteur existant. Certains établissements réduisent ce risque d’usurpation d’identité par l’utilisation de services de preuve du vivant (liveness test), où le titulaire de la pièce fait clairement apparaître qu’il fournit la pièce en vue de l’entrée en relation avec l’organisme financier. Même si les solutions techniques proposées par les Prestataires de vérification d’identité à distance (PVID) ne sont pas encore certifiées par l’ANSSI et ne peuvent donc pas remplacer les autres méthodes réglementaires, elles sont un complément utile, notamment pour vérifier le lien entre la personne qui se présente et la pièce d’identité.

L’évaluation individuelle du profil de risque BC/FT des organismes informe l’intensité de la supervision mise en œuvre par l’ACPR. L’approche par les risques est également mise en œuvre dans le choix des actions de supervision. En matière de contrôle sur place par exemple, l’ACPR a développé le recours à des missions plus ciblées, prenant la forme de missions thématiques et de visites sur place, qui sont des missions courtes de quelques jours au maximum, conduites en métropole et outre-mer. Ces visites sur place répondent à la recommandation comprise dans la récente évaluation de la France par le Gafi visant à une plus grande modulation des modalités et des ressources allouées aux contrôles sur place.

Des revues thématiques sont également conduites à distance. Tel a été le cas en 2022 sur les dispositifs automatisés de surveillance des opérations. Cette revue a pour but de mieux appréhender le fonctionnement et les performances des outils de surveillance des opérations des organismes supervisés, afin d’identifier et de promouvoir les meilleures pratiques. Des lignes directrices pourront en être tirées.

L’ACPR continuera dans le futur à faire évoluer son approche de supervision par les risques, pour demeurer au meilleur niveau des pratiques des autorités de supervision LCB/FT. Cet objectif est crucial dans la perspective de l’évolution à venir de l’architecture de la supervision LCB/FT dans l’Union européenne, avec la création de l’Anti Money Laundering Authority (AMLA).