Sélectionner une page
6e Directive et révision du Règlement (UE) 2015/847 : le parachèvement du Single Rulebook

6e Directive et révision du Règlement (UE) 2015/847 : le parachèvement du Single Rulebook

Temps de lecture estimé : 13 min

Rédaction WEB : JUST DEEP CONTENT

Le point sur la 6ème Directive et la refonte du Règlement (UE) 2015/847, dernières pièces du package européen de LCB-FT présenté par la Commission européenne.

 

Les deux Règlements européens présentés dans nos précédents articles (instituant une nouvelle Autorité de LCB-FT et renforçant la prévention de l’utilisation du système financier aux fins de BC-FT), ne permettront pas à eux seuls d’épuiser l’intégralité des déficiences structurelles dont souffre le dispositif européen de LCB-FT (Lutte contre le Blanchiment et Financement du Terrorisme). Pour y parvenir, la Commission propose :

  • l’adoption d’une 6ème Directive, venant abroger la Directive (UE) 2015/849 modifiée ; Cette nouvelle Directive intègrera les dispositions qui ne peuvent s’appliquer directement sous la forme d’un règlement et qui touchent principalement à l’organisation du système institutionnel de LCB-FT au niveau national
  • une refonte du Règlement (UE) 2015/847 modifié, visant à étendre les règles relatives aux informations accompagnant les transferts de fonds à certains crypto-actifs, viendra parachever le dispositif envisagé par la Commission.

La 6ème Directive (à ne pas confondre avec la Directive (UE) 2018/1673 parfois improprement désignée comme telle) ne se contentera pas de transférer les obligations déjà existantes dans la Directive (UE) 2015/849 modifiée. Elle introduira également des modifications de fond, en premier lieu concernant l’évaluation des risques et l’extension du champ d’application des règles LCB-FT.

évaluation des risques et extension des règles lcb-ft à d’autres secteurs

La 6ème Directive prévoit un allongement de la fréquence d’évaluation des risques mais aussi une extension possible à d’autres secteurs présentant des risques de blanchiment de capitaux et de financement du terrorisme (BC-FT).

l’évaluation supranationale et nationale des risques

La Directive (UE) 2015/849 modifiée prévoit une fréquence bisannuelle pour l’évaluation supranationale des risques. Cette fréquence ayant été jugée excessive par la Cour des comptes européenne, l’évaluation supranationale et nationale des risques sera révisée tous les quatre ans.

En termes de contenu, les évaluations supranationale et nationale des risques s’étendront aux risques liés à la non-exécution et au contournement des sanctions financières ciblées en matière de financement de la prolifération. Elles contiendront donc des informations utiles pour les entités soumises à cette même obligation.

une procédure pour l’extension des règles lcb-ft à d’autres secteurs

Lorsque l’évaluation nationale des risques révèle que des secteurs particuliers présentent des risques de BC-FT, un État membre pourra étendre le champ d’application des règles LCB-FT à ces secteurs.

Si cette faculté existait déjà pour les États membres, celle-ci est désormais encadrée. Elle devra faire l’objet d’une notification préalable à la Commission qui disposera d’un délai de six mois pour émettre un avis circonstancié sur cette mesure.

Cet avis tiendra compte des risques identifiés et des obstacles que cette mesure pourrait poser à la libre circulation des services ou des capitaux ou à la liberté d’établissement des prestataires de services au sein du marché intérieur. Par souci de transparence, une liste consolidée des secteurs auxquels les États membres ont étendu les exigences du Règlement européen sera tenue par la Commission.

Dans l’hypothèse où le secteur en question présente des risques susceptibles de concerner l’ensemble du marché intérieur, la Commission pourra proposer que l’extension envisagée s’applique à l’ensemble des États membres, ce qui permettra d’éviter des phénomènes de « forum shopping ».

Cette volonté d’assurer une cohérence dans l’ensemble du marché intérieur transparaît également dans les dispositions relatives au registre des bénéficiaires effectifs.

un renforcement des obligations relatives au registre des bénéficiaires effectifs et des pouvoirs de l’entité en charge du registre

La proposition de Directive renforce les obligations propres aux registres et aux mécanismes relatifs aux bénéficiaires effectifs, aux comptes bancaires et aux biens immobiliers. Nous nous focaliserons ici sur le registre des bénéficiaires effectifs et les pouvoirs des entités qui en assurent la gestion.

le registre des bénéficiaires effectifs : un cadre renforcé

Dans ce domaine, la Commission européenne sera habilitée à définir, par un acte d’exécution, le format à utiliser pour la communication des informations relatives au bénéficiaire effectif. Cet acte d’exécution permettra de garantir une meilleure lisibilité des informations fournies dans les différents registres nationaux.

En cas de doute sur l’exactitude des informations relatives aux bénéficiaires effectifs, les États membres pourront exiger que des renseignements supplémentaires soient demandés, notamment les délibérations et comptes rendus de réunions du conseil d’administration, les accords de partenariat, les contrats de fiducie, les procurations ou tout autre accord contractuel et document connexe.

Lorsqu’il n’y a aucun bénéficiaire effectif à déclarer, ou lorsque le ou les bénéficiaires effectifs n’ont pu être identifiés ou vérifiés, l’entité soumise à cette obligation devra fournir une déclaration accompagnée d’une justification sur cette situation.

En cas de divergence constatée entre les informations figurant sur le registre des bénéficiaires effectifs et la réalité observée, les entités assujetties et les autorités compétentes devront signaler cette divergence dans les 14 jours calendaires suivant cette détection. Les gestionnaires de ces registres disposeront également de pouvoirs pour s’assurer de la vraisemblance des informations fournies.

un accroissement des pouvoirs des gestionnaires du registre

De leur côté, les gestionnaires seront habilités à procéder à des vérifications, lesquelles peuvent inclure des enquêtes sur site dans les locaux ou au siège statutaire de l’entité assujettie, afin de déterminer les bénéficiaires effectifs actuels et de vérifier l’exactitude, l’adéquation et l’actualité des informations transmises.

Lorsqu’ils découvrent des faits susceptibles d’être liés au BC-FT, les gestionnaires seront également habilités à en informer la CRF (Cellule de Renseignement Financier), dont les missions et les pouvoirs sont également clarifiés au travers de cette proposition de Directive.

une clarification des missions et des pouvoirs des crf

Meilleur accès aux informations, pouvoirs accrus en cas de déclaration de transaction suspecte : la 6ème Directive renforce les pouvoirs des CRF.

accès à l’information et retour d’information

Sur ce point, une disposition importante vise à remédier à l’un des constats dressés par la Commission, selon lequel les CRF ne disposent pas d’un accès égal aux informations.

La directive prévoit dorénavant expressément une liste minimale d’informations de nature financière, administrative ou répressive, auxquelles les CRF devront pouvoir accéder.

Elle comporte également des dispositions visant à assurer un retour d’informations entre les CRF, les autorités compétentes et les entités assujetties. Vis-à-vis de ces dernières, les CRF seront tenues de fournir, au moins une fois par an, un retour aux entités assujetties sur l’utilisation des déclarations d’opérations ou d’activités suspecte.

Ce retour d’information portera notamment sur la qualité des informations fournies, la ponctualité du rapport, la description des soupçons et la documentation fournie.

Dans le contexte des déclarations de transactions suspectes, la proposition de Directive renforce également les pouvoirs des CRF.

des pouvoirs renforcés en cas de déclaration à la crf

La proposition législative étend et encadre plus avant dans le temps les pouvoirs des CRF en présence d’une transaction suspecte.

Dans les 48 heures suivant la réception d’une déclaration de transaction suspecte, la CRF sera ainsi habilitée :

  • à suspendre ou à refuser l’exécution d’une transaction, pendant une période maximale de 15 jours civils à compter du jour de l’imposition de cette suspension à l’entité assujettie (le délai de principe est actuellement de dix jours ouvrables en France (Code monétaire et financier, Art. L. 561-24)
  • à suspendre dorénavant l’utilisation d’un compte bancaire ou de paiement, lorsque plusieurs transactions impliquent un compte bancaire ou de paiement, pendant une période maximale de cinq jours à compter du jour de l’imposition de la suspension (sous réserve d’une prolongation supplémentaire autorisée par l’autorité judiciaire compétente).

Pour pallier le vide actuel entourant les délais de réponse entre les CRF, estimés en pratique à un mois en moyenne, la proposition de Directive entend encadrer dans le temps les échanges d’information.

Un délai de principe de sept jours est ainsi fixé pour répondre à une demande d’information émanant d’une CRF. Ce délai peut être réduit à 24 heures en cas d’urgence et porté à quatorze jours dans des cas exceptionnels dûment justifiés.

Ces délais, à mettre en regard avec ceux définis pour les entités assujetties, pourraient se répercuter de manière indirecte sur ces dernières, sommées, par l’intermédiaire de leur CRF, de répondre rapidement à des demandes émanant de CRF étrangères.

Enfin, sous la coordination et le soutien de l’Autorité, les cellules de renseignement financier constitueront le cas échéant des équipes afin de conduire des analyses communes de transactions ou d’activités suspectes.

Au-delà des pouvoirs dévolus aux CRF, la proposition de Directive vient également renforcer la surveillance des entités assujetties.

de nouvelles dispositions en matière de surveillance

La 6ème Directive renforce le dispositif de surveillance et les moyens de sanctions à l’encontre des entités assujetties. Elle prévoit également des mesures spécifiques pour certains secteurs à risque.

une surveillance renforcée par la 6ème directive

Comme la proposition de Règlement instituant l’Autorité de LCB-FT (l’Autorité) le prévoit, cette dernière élaborera des projets de normes techniques de réglementation pour établir une méthode d’évaluation et de classification des risques des entités assujetties. L’Autorité établira également des orientations pour déterminer les caractéristiques d’une surveillance reposant sur une approche par les risques.

L’Autorité définira par ailleurs les indicateurs et critères à prendre en compte pour définir le niveau de gravité des infractions, fixer le niveau des sanctions ou déterminer les mesures administratives.

Si la proposition de Directive relève le montant maximal de la sanction pécuniaire de 5 à 10 millions d’euros pour les établissements de crédit ou financier, cette disposition n’aura pas d’impact en France où ce montant peut déjà atteindre 100 millions d’euros (Code monétaire et financier, Art. L. 612-39).

Pour améliorer la surveillance au niveau des groupes, la proposition de Directive fixe également à grands traits les conditions d’organisation et les missions des collèges de surveillance dont le cadre avait été initialement établi par les lignes directrices publiées par les Autorités Européennes de Surveillance.

Elle prévoit aussi des mesures spécifiques pour faire face aux risques propres à certains secteurs d’activité.

des mesures spécifiques à l’encontre de certains secteurs

En premier lieu, pour garantir une certaine cohérence en matière de surveillance sur l’ensemble des entités assujetties, l’activité des organismes d’autorégulation se voyant confier la surveillance de certains secteurs sera désormais soumise à la supervision d’une autorité publique.

En second lieu, pour certaines entités assujetties (à l’exclusion cependant des établissements de crédit et établissements financiers), les superviseurs n’exigeront plus seulement que les membres d’un niveau élevé de la hiérarchie fassent preuve d’honnêteté et d’intégrité : ces exigences seront également étendues aux bénéficiaires effectifs de ces entités.

La proposition de Directive prévoit en effet que les États membres veillent à ce que les bénéficiaires effectifs qui ont été condamnés pour blanchiment de capitaux, une infraction sous-jacente ou financement du terrorisme, puissent en être dissociés. Le cas échéant, les États membres octroieront ainsi aux autorités nationales de surveillance le pouvoir de demander que les bénéficiaires effectifs cèdent la participation qu’ils détiennent.

Last but not least, la proposition de Directive donne également la possibilité aux États membres d’exiger de la part des émetteurs de monnaie électronique, des prestataires de services de paiement et des prestataires de services sur crypto-actifs qu’ils désignent un point de contact central lorsqu’ils sont établis sur leur territoire sous une autre forme qu’une succursale et que le siège social est situé dans un autre État membre. Ces points de contacts seront chargés de veiller au respect des règles LCB-FT et de faciliter la supervision des autorités de surveillance.

Pour les prestataires de services sur crypto-actifs, l’un des impacts les plus significatifs du paquet législatif concerne les informations devant accompagnant les transferts de crypto-actifs.

l’extension des règles accompagnant les transferts de fonds à certains transferts de crypto-actifs

L’extension de la règlementation sur les transferts de fonds, en particulier la « travel rule », s’imposera dorénavant aux transferts de crypto-actifs.

l’élargissement nécessaire du règlement (ue) 2015/847 modifié aux transferts de crypto-actifs

Pour prévenir et détecter l’utilisation de transferts de fonds à des fins de BC-FT, le Règlement (UE) 2015/847 modifié repose sur un régime différencié d’obligations selon la position du prestataire de services de paiement (PSP) dans la chaîne de transaction (qu’il s’agisse du PSP du donneur d’ordre, du bénéficiaire ou d’un PSP intermédiaire).

L’objectif visé par le Règlement est de s’assurer que les informations sur le donneur d’ordre et le bénéficiaire figurent dans les messages de paiement. Le Règlement étant limité aux « transferts de fonds », définis comme « les billets de banque et les pièces, la monnaie scripturale ou la monnaie électronique », une refonte de ce Règlement s’impose pour l’étendre aux cas de transferts de crypto-actifs.

l’extension de la « travel rule » aux transferts de crypto-actifs

L’extension du Règlement concernera donc les prestataires de services sur crypto-actifs lorsque ses opérations (en monnaie fiat ou en crypto-actifs) consistent en un virement électronique ou un transfert de crypto-actifs entre ce prestataire et une autre entité assujettie.

A la différence des transferts de fonds, tous les transferts de crypto-actifs seront considérés comme transfrontaliers (sans distinction du point de savoir s’ils ont lieu dans un seul pays, au sein du marché intérieur ou entre plusieurs pays). La philosophie générale du Règlement, consistant initialement en un partage de responsabilité entre le PSP du donneur d’ordre ou du bénéficiaire (travel rule), est maintenue.

Ainsi, le prestataire de services sur crypto-actifs de l’initiateur devra :

  • s’assurer que les transferts de crypto-actifs sont accompagnés :
    •  du nom de l’initiateur
    •  du numéro de compte de l’initiateur lorsque ce compte existe et est utilisé pour la transaction
    •  de l’adresse
    • du numéro du document d’identité officiel
    •  du numéro d’identification du client ou de la date et du lieu de naissance de l’initiateur
  •  s’assurer que les transferts de crypto-actifs sont accompagnés :
    • du nom du bénéficiaire
    • du numéro de compte du bénéficiaire, lorsque ce compte existe et est utilisé pour la transaction.

De son côté, le prestataire de services sur crypto-actifs du bénéficiaire devra appliquer des procédures efficaces :

  • pour vérifier si les informations sur l’initiateur accompagnent le transfert de crypto-actifs ou le suivent
  • pour détecter, y compris le cas échéant par un contrôle a posteriori ou en temps réel, l’absence éventuelle des informations requises sur l’initiateur ou le bénéficiaire
  • pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert qui n’est pas accompagné des informations complètes requises sur l’initiateur et le bénéficiaire et pour prendre les mesures de suivi qui s’imposent.

Le prestataire de services sur crypto-actifs du bénéficiaire devra évaluer, en cas d’informations manquantes ou incomplètes sur l’initiateur ou le bénéficiaire, si les transferts sont suspicieux et doivent être reportés à la CRF. Les prestataires de services de crypto-actifs devront conserver les informations pendant une durée de cinq ans.

Pour éviter de voir des transactions basculer dans la clandestinité en raison d’obligations trop strictes, une approche par les seuils est retenue, avec un régime allégé pour les transferts de crypto-actifs dont le montant, pris individuellement ou cumulé à d’autres transferts liés, n’excède pas 1.000€.

Dans l’ensemble, l’implémentation de la travel rule aux transferts de crypto-actifs aura un impact substantiel pour les prestataires de services concernés.

Source : Karim DJEDID pour l’ESBanque

6ème directive et revision du règlement (UE) 2015/847 : calendrier et impacts attendus

La proposition de Directive et la proposition de refonte du Règlement entreront en vigueur le vingtième jour suivant celui de sa publication au JOUE.

La Directive n’étant pas d’application directe, les États membres disposeront d’un délai de trois ans après son entrée en vigueur pour transposer ses dispositions. En raison des échéances annoncées par la Commission pour la mise en place et le démarrage de l’activité de l’Autorité, il est probable que sa publication au JOUE ait lieu au plus tard en 2023, de façon à s’assurer que sa transposition par les États membres soit complète en 2026.

Touchant principalement à l’organisation du système institutionnel de LCB-FT, les impacts de la proposition de Directive devraient être plus mesurés pour les entités assujetties.

Parmi ceux-ci, les délais imposés par la CRF en matière d’échanges d’information et la faculté pour elle de geler un compte bancaire ou de paiement se traduiront le cas échéant par une revue du dispositif de reporting à la CRF ou une extension des cas de gel de compte à ce type de situation.

Le choix de la Commission d’étendre le régime du Règlement (UE) 2015/847 modifié aux prestataires de services sur crypto-actifs, conformément aux standards du GAFI, n’ira pas sans poser un certain nombre de challenges opérationnels et techniques pour certains d’entre eux, faute de solution technologie globale qui puisse satisfaire aux obligations de la travel rule.

Il est à noter que les obligations prévues dans la proposition de refonte ne s’appliqueront pas aux transferts n’impliquant pas ces prestataires, comme les transferts entre portefeuilles cryptographiques auto-hebergés. C’est un des angles morts du nouveau dispositif LCB-FT.

la consolidation à venir du paquet legislatif

Destiné à remédier aux déficiences structurelles que la cinquième directive n’avait pas traitées en son temps, le paquet législatif de la Commission renforce plutôt qu’il ne révolutionne le cadre LCB-FT actuel.

S’il va nécessairement se traduire par une adaptation du programme LCB-FT des entités assujetties, ces efforts n’auront par hypothèse pas la même amplitude que ceux ayant été précédemment entrepris lors de réformes précédentes, notamment à l’occasion du passage de la deuxième à la troisième Directive.

Source : Karim DJEDID pour l’ESBanque

A la date de rédaction de cet article, le contenu du paquet législatif n’est pas encore définitivement arrêté et doit encore être négocié. Il faut également noter qu’une fois adopté, ce corpus de règles uniques (Single Rulebook) ne sonnera pas nécessairement la fin de l’activité législative européenne en matière de LCB-FT. La Commission a par exemple déjà annoncé la révision prochaine de la Directive (UE) 2019/1153.

Le paquet législatif lui-même contient toute une batterie de dispositions prévoyant l’adoption ultérieure de mesures d’application de niveau 2 et de textes de niveau 3.

Cela concernera, entre autres : les variables et les facteurs de risques à prendre en compte pour nouer des relations d’affaires ou exécuter des transactions occasionnelles, la liste établie par la Commission des pays tiers à haut risque ou dont les dispositifs de LCB-FT présentent des faiblesses en matière de conformité, les seuils déclencheurs de mesures de vigilance en cas de transactions occasionnelles, les critères d’identification des personnes connues pour être associées à des PPEs, le format à utiliser pour les déclarations de transactions suspectes, les conditions dans lesquelles le recours ou la sous-traitance à un tiers peut avoir lieu ainsi que les rôles et responsabilités des parties prenantes…

Enfin, le Single Rulebook fera lui-même l’objet d’un réexamen périodique. La 6ème Directive et le Règlement relatif à la prévention de l’utilisation du système financier aux fins du BC-FT devront faire l’objet d’un réexamen et d’une évaluation dans un délai de cinq ans à compter de leur application, puis tous les trois ans.

La Commission fournira notamment, au plus tard dans les trois ans suivant la date d’application du Règlement, un rapport sur un abaissement éventuel du pourcentage utilisé pour l’identification des bénéficiaires effectifs ou de la limite applicable aux paiements en argent liquide d’un montant élevé. La Commission évaluera les résultats de l’Autorité par rapport à ses objectifs, son mandat, ses missions et sa localisation au plus tard le 31 décembre 2029 et tous les cinq ans par la suite.

Les années qui viennent promettent une nouvelle fois d’être intenses en matière de production normative.

Quelle conformité LCB-FT pour les AISP et PISP ?

Quelle conformité LCB-FT pour les AISP et PISP ?

Temps de lecture estimé : 13 min

Rédaction WEB : JUST DEEP CONTENT

Les AISP et PISP sont soumis à la règlementation LCB-FT des établissements financiers mais leur activité spécifique nécessite une adaptation particulière. Explications

 

 

La DSP2 (Directive Européenne sur les Services de Paiement 2) entérine l’intégration de nouveaux acteurs dans la chaîne de paiement : les Third Party Provider (TPP).

Ces nouveaux établissements de paiement sont généralement des fintechs proposant les services d’accès aux informations bancaires (AISP : Account Information Services Provider) et d’initiation de paiement (PISP : Payment Initiation Services Provider).

Ces établissements, ayant un accès aux données bancaires, sont soumis à la réglementation en matière de Lutte contre le Blanchiment et le Financement du Terrorisme (LCB-FT).

De par leurs activités innovantes, basées sur l’Open Banking et la fluidité des parcours utilisateurs (l’UX, User Experience), ces prestataires de services se doivent de faire preuve d’adaptabilité afin de conformer leurs activités  aux exigences réglementaires. Leur clientèle pouvant être volatile, les AISP et PISP inventent et/ou réinventent la connaissance client et le suivi de la relation d’affaire afin de ne pas perdre leurs utilisateurs avec des parcours d’accompagnement, dits « onboarding », trop lourds.

Le point sur la réglementation applicable aux AISP et PISP en matière de connaissance client et de suivi de la relation d’affaires et son impact sur leurs activités.

aisp et pisp :  quelle réglementation lcb-ft ?

Il n’y a pas de réglementation spécifique aux AISP et PISP. Comme les autres professions dans le champ d’application de la réglementation, ils doivent composer entre exigences réglementaires, pratiques de place, guidelines des régulateurs et beaucoup d’imagination !

La réglementation applicable pour les AISP et PISP est donc celle à laquelle tous les établissements financiers sont soumis. Toutefois, le régulateur tend à prendre en compte les spécificités de ces activités notamment dans les dernières orientations sectorielles du 1er mars 2021.

les aisp et psip : la réglementation lcb-ft générale

La 5e Directive Européenne du Parlement européen et du Conseil du 30 mai 2018 relative à la prévention de l’utilisation du système financier aux fins du blanchiment d’argent de capitaux ou le financement du terrorisme (BC/FT) est applicable aux AISP et PISP en leur qualité d’établissement de paiement.

Ces intervenants relèvent de l’article L.561-2 du Code monétaire et financier (CMF), comme établissement de paiement ainsi que du champ d’application des articles L.561-1 et suivants du CMF sur la lutte contre le blanchiment de capitaux et le financement du terrorisme.

Les établissements de paiement devront donc, comme l’ensemble des établissements soumis à la LCB-FT, mettre en place des dispositifs basés sur les exigences suivantes :

  • connaissance de la clientèle
  • classification des risques BC/FT
  • filtrage des clients sur la base des listes de gel des avoirs et de PPE (Personnes Politiquement Exposés) ainsi que les pays sous embargo ou considéré à haut risque par le GAFI (Groupe d’Action Financière)
  • détection et le traitement des opérations suspectes
  • formation du personnel

les spécificités sectorielles de l’eba du 1er mars 2021

Pour connaître les spécificités des AISP et PISP, il est indispensable de comprendre leurs activités en pratique.

Que font exactement les AISP et PISP ?

Les AISP (Account Information Services Providers) sont des établissements proposant un service d’accès aux informations sur les comptes bancaires.

Ces établissements accèdent, via des moyens sécurisés mis à disposition par les banques, aux données bancaires disponibles dans les banques en ligne des utilisateurs.

Ces accès leurs permettent d’agréger plusieurs comptes bancaires de banques différentes sur une même interface afin d’avoir une vision complète des comptes bancaires d’une même personne.

En BtoC (Business to Consumer) ce service est proposé directement aux utilisateurs (particulier et/ou professionnel), sous forme d’application, afin qu’ils puissent avoir une vision 360° sur leurs comptes bancaires.

Ces établissements proposent également des fonctionnalités de catégorisation des données bancaires afin d’apporter une vision précise des différents types de dépense, dans un objectif de meilleure gestion des revenus et du budget du client.

Ces établissements peuvent proposer également des astuces et conseils afin d’optimiser les budgets et mettre en relation les utilisateurs avec des partenaires afin d’optimiser certaines dépenses.

En BtoB (Business to Business), les AISP proposent la collecte des données bancaires et leur catégorisation à des experts comptables, à des sociétés de gestion de logiciels comptables sous forme d’API (Application Programming Interface), à des établissements de crédit pour l’obtention de prêt ainsi qu’à des sociétés limitant les cas de fraude aux identifications bancaires (identité, identification bancaire …).

Les PISP (Payment Initiative Services Providers) sont des établissements proposant un service d’initiation d’ordre de paiement.

Ces établissements, via des accès sécurisés mis à disposition par les banques, initient des ordres de paiement que les banques exécutent.

Ces établissements proposent plusieurs types de paiement qui, lorsqu’ils sont conjugués aux services AIS (Account Information Services) permettent d’élaborer des produits différents.

Par exemple, un produit AIS couplé à un produit PIS permettra de proposer un virement sur la liste de bénéficiaire de confiance de la banque. Tandis qu’un produit uniquement PIS est seulement utilisé pour faire du paiement marchand.

Les AISP et PISP sont également appelés TPP (Third Party Providers).

Devant le caractère spécifique de ces établissements, l’EBA (European Banking Authority) a formulé récemment des orientations sectorielles relatives aux facteurs de risques de BC/FT propres aux prestataires de services d’initiation de paiement (PIS, Payment Initiation Services) et d’accès à l’information sur les comptes (AIS, Account Information Services) ( EBA Guidelines du 1er mars 2021).

Ces orientations consacrent en particulier :

  • le caractère limité du risque inhérent de BC/FT associé aux activités PIS et AIS compte tenu du fait que ces prestataires n’exécutent pas eux-mêmes d’opérations de paiement et qu’ils ne détiennent pas les fonds des utilisateurs
  • l’existence de facteurs de risque spécifiques liés aux clients, aux canaux de distribution et aux pays ou zones géographiques
  • l’applicabilité de la notion de « client » aux personnes morales utilisant les services PIS pour leurs clients finaux
  • le principe de procédures de vigilance basées sur des typologies tierces ou propres pour la détection de transactions inhabituelles ou suspectes selon les risques qu’elles représentent
  • l’applicabilité, lorsque le risque associé à une relation d’affaire est a priori faible, de mesures de vigilance simplifiées à l’égard de la clientèle.

Ces orientations ont été largement appréciées par les TPP (Third Party Provider). Aucun régulateur n’avait apporté autant de précisions sur la déclinaison opérationnelle d’exigences règlementaires.

aisp / pisp : une connaissance client spécifique

Les particularités des AISP et PISP, reprises dans les dernières orientations de l’EBA, ont un impact sur la qualification de la clientèle de manière générale, le processus de connaissance des clients et le suivi des transactions propres aux PISP.

la qualification de la clientèle pour les aisp et les pisp

La qualification de la clientèle d’un TPP dépendra de son business plan, de son positionnement sur le marché et de sa stratégie de distribution.

Les conséquences de la position de marché

En matière de positionnement commercial, les TPP peuvent se situer sur le marché du BtoB et/ou le marché du BtoC.

  • En BtoB, il existe deux typologies de clients en fonction du produit :
      • Pour les produits AIS :
        • les utilisateurs finaux, clients de services AIS mis en relation par un client partenaire
        • le client partenaire qui propose à ses clients/utilisateurs la possibilité d’utiliser le service AIS de l’AISP.
        • Pour les produits PIS : seuls les clients partenaires sont considérés comme clients.

    En effet, l’EBA, dans ces orientation du 21 mars 2021, a précisé que les utilisateurs finaux PIS, initiant des virements, ne sont pas des clients ( EBA/GL/2021/02, article 18.8).

    • En BtoC, les clients sont les utilisateurs de l’application proposant les services AIS et/ou PIS.

    Cette première qualification pourra également évoluer en fonction de la distribution des services de paiement.

    Les conséquences de la stratégie de distribution des AISP et PISP

    La distribution pourra se faire selon plusieurs méthodes : le choix du modèle contractuel ainsi que le canal de distribution.

    • Pour les modèles contractuels, il existe plusieurs schémas pouvant impacter la qualification de la clientèle :
      • le modèle “Tiers Utilisateur”, principe standard des établissements de paiement permettant aux AISP d’être mis en relation par un client (BtoB) sans transfert de clientèle, et de conserver son autonomie et sa responsabilité sur son activité.
        L’AISP signe un contrat avec le client « tiers utilisateur » ainsi qu’avec l’utilisateur final. Il a donc deux types de clients : le client partenaire et l’utilisateur final.
    Source : Bankin’
    • le modèle “agent”:  dans ce cadre, le client partenaire exerce son activité sous la responsabilité et l’agrément de l’AISP. Le client de l’AISP sera donc l’agent ou autrement dit le client partenaire. Les utilisateurs finaux seront les clients de l’agent soumis aux exigences LCB-FT sous la responsabilité de l’AISP.
    Source : Bankin’
    • le modèle PSEE (Prestataires de Services Essentiels Externalisés) : dans ce schéma, un établissement régulé contractualise avec l’AISP pour une prestation technique. L’AISP agira, sur le périmètre du contrat, sous la responsabilité de l’établissement client régulé. Dans ce modèle, l’établissement régulé est le client de de l’AISP et l’utilisateur final des services AIS est client de l’établissement régulé.
    Source : Bankin’
    • Pour le canal de distribution, la qualification de client dépendra du moyen de distribution mis en place :
      • soit une distribution en direct,

    L’une des pratiques de marché actuelle est de passer par des intermédiaires. Dans ce cas, les intermédiaires sont les clients des TPP.

    Ces intermédiaires distribuent les produits en tant qu’indicateur d’affaire ou IOBSP à d’autres entreprises qui seront également clientes de l’AISP et qui elles-mêmes proposeront les services à des utilisateurs finaux (entreprise ou consommateurs).

    L’utilisateur final pourra être également client de l’AISP en fonction du modèle contractuel choisi.

    Les schémas de distribution peuvent être relativement complexes. Cette qualification de la clientèle en fonction du business model est donc indispensable pour identifier les clients ainsi que le niveau de vigilance qui devra être appliqué.

    aisp, pisp : les spécificités d’une connaissance digitalisée en vigilance simplifiée

    Comme précisé par l’EBA, de par leur activité, les TPP sont en vigilance simplifiée, ce qui permet d’optimiser le processus de connaissance client.

    Qu’est-ce que la vigilance simplifiée ?

    Les mesures de vigilance à l’égard de la clientèle s’appliquent avant d’entrer en relation d’affaires. Elles portent sur :

    • l’identification et la vérification de l’identité du client et, le cas échéant, de son représentant, puis éventuellement du bénéficiaire effectif
    • la connaissance de l’objet, de la nature de la relation d’affaires et le recueil de tout autre élément d’information pertinent.

    En l’absence de tout soupçon BC/FT, les TPP bénéficient d’une exception à la mise en œuvre de ces obligations, au titre des mesures de vigilance dites « simplifiées », en application du 2° de l’article L. 561-9 du CMF. Les activités PIS et AIS présentent en effet un risque inhérent de BC/FT limité.

    Cette exception autorise l’application de mesures de vigilance dites « simplifiées » qui permettent de :

    • s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client, lorsque les coordonnées de son compte de paiement sont connues et que ce compte est détenu auprès d’un établissement réglementé établi dans l’EEE (Espace Economique Européen).
    • reporter la vérification de l’identité du client à une certaine date après l’établissement de la relation d’affaires
    • présumer la nature et l’objet de la relation d’affaires.

    En cas de soupçon, les AISP se devront de mettre en place des mesures d’identification et de vérification adéquates, afin de leur attribuer un niveau de vigilance pertinent en fonction du risque.

     AISP, PISP : un processus de connaissance clients adapté à leur typologie

    Les TPP, comme l’ensemble des entreprises soumises à la LCB-FT appliquent la méthode standard :

    • identification du client et recueil de la documentation
    • vérification de l’identité du client et de filtrage
    • revue périodique.

    Toutefois, le recueil des informations et la vérification seront spécifiques à la qualification du client, selon qu’il s’agit de clients partenaires professionnels ou de clientèle de détail.

    La connaissance des clients partenaires

    Pour la connaissance des clients partenaires, le processus de collecte de la documentation, se fera en fonction du produit :

    • de manière digitalisée,
    • ou manuellement avec des processus de vérification les plus automatisés possibles.

    Pour ces clients, la vigilance simplifiée requiert un recueil de pièces, qui pourra se faire a posterori de la contractualisation.

    La connaissance de la clientèle de détail

    Pour les clients utilisateurs finaux, les mesures de vigilance simplifiées permettent aux AISP et PISP de :

    • collecter et s’appuyer sur les données d’identification accessibles via les connecteurs bancaires pour prouver l’identité du client
    • reporter la vérification de l’identité du client jusqu’à l’obtention des coordonnées de son compte de paiement
    • présumer la nature et l’objet de la relation d’affaires sur la base des conditions générales de ventes soumises à l’approbation de l’utilisateur concernant les services AIS et PIS.

    Ce processus digitalisé permet de se baser sur les données considérées comme fiables afin de proposer un KYC (Know Your Costumer) adaptée à l’activité des AISP et les PISP.

    les spécificités du suivi des transactions applicables aux pisp

    Les PISP sont soumis aux exigences de KYC de leur client partenaire mais également au suivi des transactions bancaires.

    Ce suivi des transactions bancaires permet d’identifier les comportements frauduleux pouvant être liés aux blanchiment et financement du terrorisme.

    La méthode doit répondre aux exigences des différents régulateurs européen et national, sur le besoin de filtrage des acteurs du paiement ainsi que la pertinence des règles.

    Le besoin de filtrage des acteurs du paiement

    En matière de transaction, les PISP se doivent en plus de connaitre leurs clients, de détecter les opérations frauduleuses mais aussi de détecter toutes transactions à destination ou émise par une personne ou entité dont les avoirs ont été gelés (Lignes directrices conjointes de la Direction Générale du Trésor et de l’Autorité de contrôle prudentiel et de résolution du 16 juin 2021).

    Dans cette orientation, la CCLBFT (Commission consultative de lutte contre le Blanchiment et le financement du terrorisme de l’ACPR) a rappelé qu’une obligation de résultat s’impose aux établissements assujettis sur « la mise en place d’un dispositif qui doit permettre la détection de toute opération au bénéfice des personnes ou entités dont les avoirs sont gelés ».

    Pour ce faire, le dispositif doit reposer sur deux critères :

    • le caractère exhaustif de la détection de ces opérations
    • une mise en œuvre des obligations en matière de gel des avoirs et d’interdiction ne relevant pas d’une approche par les risques.

    Les PISP se doivent donc de filtrer les acteurs du paiement selon le registre de gel des avoirs, ce dès le premier euro et en amont de l’envoi de l’ordre à l’établissement bancaire.

    Les initiateurs du paiement n’étant pas leurs clients et donc n’ayant pas fait l’objet d’un KYC, les PISP sont dans l’obligation de filtrer le destinataire et le bénéficiaire des paiements.

    Ce filtrage engendre un risque de perte de fluidité et d’instantanéité de l’opération qu’il s’agira d’adresser avec habileté, afin de concilier obligation réglementaire et performance du processus de paiement.

    La pertinence des règles de détection des transactions atypiques

    En plus du filtrage, les PISP ont pour obligation d’identifier les transactions atypiques afin d’être en mesure de détecter les cas de fraude et/ou les cas de blanchiment et de financement du terorrisme.

    D’après les orientations sectorielles de l’EBA, les prestataires AIS et PIS doivent a minima considérer les facteurs de risques suivants, comme susceptibles de contribuer à une augmentation du risque :

    • un client transfère au même bénéficiaire des fonds provenant de différents comptes de paiement ou reçoit de la part du même donneur d’ordre des fonds sur différents comptes de paiement qui, ensemble, représentent une somme importante sans justification économique ou légitime claire, ou qui donnent au prestataire des motifs raisonnables de soupçonner que le client essaie d’éviter des seuils de contrôle particuliers
    • un client initie un paiement (PIS) ou reçoit/envoie des fonds (AIS) en provenance ou à destination d’un pays ou territoire associé à un risque plus élevé de BC/FT ou en provenance ou à destination d’un pays tiers à haut risque, ou au bénéfice d’une personne ayant des liens connus avec de tels pays ou territoires, ou bien encore le client relie des comptes de paiement détenus au nom de plusieurs personnes dans plusieurs pays ou territoires.

    Les établissements doivent ainsi identifier des règles sur les critères suivants :

    • zone géographique
    • montants en fonction des sommes qu’ils ont l’habitude d’initier
    • fréquence des transactions
    • indices spécifiques de fraude qu’ils auraient identifiés (ex: l’adresse IP (Internet Protocol), le device ID (Device identification) pour pouvoir identifier les cas de fraude dites « sim swap »).

    Selon ces règles, les processus de contrôle vont :

    • générer des alertes a priori
    • déclencher un seuil permettant une gestion efficace de ces alertes ( priorisation des alertes et déclenchement d’ astreintes )
    • bloquer des transactions en fonction d’une limite de risque préalablement identifiée.

    En plus de la détection des alertes a priori, les PISP peuvent également mettre en place des analyses a posteriori afin d’obtenir une cartographie des flux de paiement et identifier de nouveaux scénarios de risques.

    Ces deux mécanismes de filtrage et de détection des transactions sont essentiels aux services PIS, tout comme à la connaissance des clients KYC.

    Ces dispositifs ont néanmoins des impacts financiers importants pour les établissements, au niveau des ressources humaines pour traiter les alertes, mais aussi des dispositifs techniques à mettre en place. A ces investissements, s’ajoute la potentielle perte d’utilisateurs si les parcours et/ou processus de paiement ne sont pas performants.

     

     

     

    Les orientations de l’EBA viennent clarifier le besoin en matière de vigilance sur les activités des AISP et les PISP. Ces orientations sont très appréciées par les professionnels de la conformité car elles apportent des précisions concrètes aux établissements proposant des services innovants.

    Toutefois, selon le projet de réforme de la 6ème Directive LCB-FT dont la procédure législative aura lieu pendant la gouvernance française de la commission européenne, les établissements proposant des services d’AIS pourraient être soumis également aux analyses de suivi des transactions.

    Aux obligations de connaissance client et de suivi de la relation d’affaire, viendrait ainsi s’ajouter pour les AISP l’analyse des transactions à l’image des PISP.

    Le législateur considère en effet que ces établissements, accédant à l’ensemble des informations sur les comptes des personnes, sont en mesure de détecter les potentielles anomalies transactionnelles pouvant être qualifiées de blanchiment et/ou de financement de terrorisme.

    Il est vrai que ces établissements seraient en mesure d’avoir une certaine visibilité sur les différents flux bancaires des personnes. Toutefois, cela supposerait de réaliser une analyse financière des transactions de leurs clients, alors que  leur cœur de métier est de proposer des services d’accès aux informations sur les comptes.

    Les AISP sont souvent des PME, start-up, proposant des services innovants pour qui la mise en conformité LCB-FT s’est révélée et se révèle être un coût important, entre la perte de l’utilisateur en raison d’un « onboarding  » alourdi, les charges de ressources humaines et les investissements dans les outils permettant de filtrer et de vérifier les identités.

    A date, les AISP ont fait parvenir aux régulateurs une note dans ce sens afin de démontrer que le risque est disproportionné par rapport à l’activité d’AIS.

    Auteurs
    Anne-Victoire d’Herbécourt  
    Responsable Risques, Contrôle interne et Conformité en Fintech – Participante au parcours de certification LCB-FT ES Banque  

    LCB-FT, Arrêté du 6 janvier 2021 : rien de nouveau mais tout change

    LCB-FT, Arrêté du 6 janvier 2021 : rien de nouveau mais tout change

    Temps de lecture estimé : 14 min

    Rédaction WEB : JUST DEEP CONTENT

    L’arrêté du 6 janvier 2021 faisant suite à l’ordonnance du 4 novembre 2020 n’est pas un simple rappel des exigences pratiques de la LCB-FT. Il en change fondamentalement la portée. Explications.

    La récente publication de l’arrêté du 6 janvier 2021 fait suite à celle de l’ordonnance du 4 novembre 2020. Ces deux textes redéfinissent le cadre réglementaire (mais pas législatif) de la lutte contre le blanchiment de capitaux, le financement du terrorisme et le gel des avoirs.

    Mais surtout l’arrêté du 6 janvier 2021, s’il réaffirme le panorama des exigences de LCB-FT (lutte contre le blanchiment et le financement du terrorisme), fait du sujet de l’arrêté du 3 novembre 2014 relatif au Contrôle interne une matière renforcée, autonome et transversale. Rien ne change véritablement mais tout change fondamentalement.

    Pour étudier la portée de ces textes, nous envisageons tout d’abord leur impact sur les interactions des entités concernées avec leur environnement, avant d’analyser leurs conséquences en termes d’organisation interne.

    les entités concernées par l’arrêté du 6 janvier 2021 : une interaction clarifiée avec leur environnement

    Harmonisation des dispositions de LCB-FT des activités bancaires et non bancaires, renforcement des mesures de gel des avoirs et sanction internationales, approche par les risques et sources internationales, prestataires extérieurs, tierce introduction, opérateurs exerçant via des agents ou distributeurs, autant de sujets développés par ces textes et encadrant les relations des entités assujetties.

    harmonisation des régimes de lcb-ft pour les activités bancaires et non bancaire

    Le titre même de l’arrêté nécessite un commentaire : le texte est « relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques. »

    C’est une avancée majeure que de lier officiellement la lutte contre le blanchiment et le financement du terrorisme avec ce que nous appelons communément dans la pratique « les sanctions internationales ». Les deux aspects étaient certes associés en pratique mais le corpus de textes applicables jusqu’ici disparates et leur prise en compte nécessairement différenciée. Ce n’est plus le cas dorénavant.

    D’autre part, la liste des « organismes assujettis » énoncée à l’article 1er de cet arrêté est plus vaste que celle de l’article 1er de l’arrêté du 3 novembre 2014 relatif au Contrôle interne spécifique au secteur de la finance.

     La liste englobe en effet, outre les assujettis du secteur de la finance et du secteur des services de paiement et de monnaie électronique, le secteur des assurances et certains prestataires de services d’investissement ainsi que les prestataires de services sur actifs numériques.

     La conjonction de ces deux éléments démontre une volonté claire d’élargir les exigences à tous les professionnels du monde de la finance et de les harmoniser.

     L’arrêté ne reprend pas la liste exhaustive des professionnels soumis aux exigences de LCB-FT par l’article L 561-2 du Code Monétaire et Financier. L’arrêté se concentre sur la finance au sens large du terme.

     Néanmoins, par son champ d’application, l’arrêté élargit les obligations réglementaires en matière de LCB-FT à quasiment tous les acteurs financiers et ceci indépendamment de l’arrêté du 3 novembre 2014 précité. Il participe en cela en une autonomisation de la matière LCB-FT.

    Arrêté du 6 janvier 2021
    Plan synthétique
    Relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques

    Chapitre préliminaire

    Article 1

    Définitions

    Chapitre 1er - Dispositif de lutte contre le blanchiment et le financement du terrorisme

    Article 2

    Classification des risques (modalités et sources)

    Article 3

    Responsable LCB-FT (missions)

    Article 4

    Objectifs du dispositif de gestion des risques

    Article 5

    Obligation de formalisation écrite du dispositif et des procédures

    Procédures internes

    Article 6

    Contenu minimal des procédures internes

    Article 7

    Procédures spécifiques chèque

    Article 8

    Procédures spécifiques tierce introduction

    Article 9

    Procédures spécifiques externalisation

    Article 10

    Contenu du contrat d’externalisation

    Chapitre 3 - Dispositifs et procédures internes en matière de gel des avoirs et d’interdiction de mise à disposition

    Article 11

    Objectif du dispositif

    Article 12

    Contenu minimal des procédures internes en matière de gel des avoirs et d’interdiction de mise à disposition

    Chapitre 4 - Contrôle interne

    Article 13

    Objectif du dispositif de contrôle interne

    Article 14

    Indépendance de la fonction de contrôle

    Article 15

    Responsabilité du responsable du contrôle permanent LCB-FT

    Article 16

    Modalités du contrôle périodique

    Article 17

    Responsable du contrôle périodique

    Article 18

    Modalités du contrôle interne en fonction de la spécificité d’exercice de l’activité

    Article 19

    Cas spécifique de l’organe central

    Chapitre 5 - Dispositions applicables aux Groupes

    Article 20

    Définition des entreprises mères

    Article 21

    Responsabilité dans l’établissement de la classification des risques

    Article 22

    Responsabilité dans la mise en place d’une organisation et des procédures

    Article 23

    Objectifs de l’organisation et des procédures élaborés par les entreprises mères

    Article 24

    Exigences quant aux procédures et mesures de contrôle interne des entreprises mères

    Rôle des dirigeants

    Article 25

    Responsabilité de s’assurer du respect des obligations

    Article 26

    Détail des Responsabilités

    Article 27

    Rapport sur l’organisation des dispositifs de contrôle interne de LCB-FT

    Chapitre 7 - Dispositions diverses

    Article 28

    Cas de recours à des agents, des services de paiement ou des distributeurs de monnaie électronique

    Article 29

    Modification de l’arrêté du 10 septembre 2009

    Article 30

    Modification de l’arrêté du 3 novembre 2014

    Chapitre 8 - Dispositions relatives aux collectivités d’outre-mer

    Article 31

    Modification de l’arrêté du 10 septembre 2009

    Article 32

    Modification de l’arrêté du 21 décembre 2018

    Article 33

    Modification de l’arrêté du 11 septembre 2015

    Article 34

    Application à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, sous certaines adaptations (énoncées)

    Entrée en vigueur

    Article 35

    Délai d’1 an pour mettre en conformité les contrats d’externalisation mentionnés à l’article 10. Entrée en vigueur au 1er mars 2021 de l’arrêté

    Publication

    Article 36

    Publication au Journal Officiel

    l’ordonnance du 4 novembre 2020 renforce et l’arrêté du 6 janvier 2021 consacre l’importance du gel des avoirs et des sanctions internationales

    L’arrêté attribue un chapitre entier (chapitre 3) aux dispositifs et procédures internes en matière de gel des avoirs et d’interdiction de mise à disposition. C’est dire l’importance donnée à cet aspect, déjà objet de l’ordonnance du 4 novembre 2020.

    Concrètement, entre autres dispositions, cette ordonnance a introduit, via son article 3, un mécanisme d’application directe et sans délai des mesures de gel des avoirs décidées par le Conseil de Sécurité des Nations Unis.
    Conformément aux prescriptions de l’ONU, l’article 4 de l’ordonnance a également étendu l’obligation d’appliquer les mesures nationales de gel et d’interdiction de mise à disposition ou d’utilisation de fonds ou ressources économiques, à toute personne physique ou morale ayant un lien de rattachement avec le territoire national.

    Il est précisé que cette ordonnance s’applique à tous les professionnels énumérés à l’article L 561-2 du Code Monétaire et Financier précité et s’applique donc à l’ensemble des assujettis à des obligations en matière de LCB-FT. Son champ d’application est donc plus vaste que celui de l’arrêté.

    C’est donc à la lumière de cette ordonnance qu’il faut analyser le chapitre 3 de l’arrêté qui, certes, ne fait que confirmer le dispositif dédié à mettre en place mais lui donne ainsi une importance toute particulière, que ne peuvent ignorer les professionnels assujettis.

    L’arrêté réaffirme le principe largement repris dans la réglementation, d’adaptabilité des exigences aux réalités d’exercice de l’activité, en fonction de critères objectifs tels que leur organisation, leurs procédures de centralisation ou de coordination de l’analyse et de traitement des alertes détectées.

    Toutefois, l’article 12 de l’arrêté précise que les procédures internes dédiées à cet aspect de la LCB-FT doivent porter sur les modalités :

    • d’analyse des alertes 
    • de mise en œuvre des mesures de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation de fonds ou ressources économiques
    • de levée de ces mesures
    • d’information du ministre chargé de l’économie lors de la mise en œuvre de ces dispositions.

    La publication récente de ces deux textes va dans le sens indéniable de la consécration des mesures de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation de fonds ou ressources économiques, quelle qu’en soit la source (nationale, UE (Union européenne) ou CSNU (Conseil de Sécurité des Nations-Unies)).

    L’objectif est ici de coordonner les mesures à l’échelon international, afin qu’aucun assujetti ne puisse contourner une sanction internationale émise à l’encontre de l’un de ses clients (ou prospect).

    renforcement de l’approche par les risques et précision quant à la prise en considération de certaines sources internationales (article 2 de l’arrêté)

    L’arrêté reprend également à son compte l’approche par les risques qui a cours en matière de LCB-FT et de conformité en général. Il mentionne expressément l’article L. 561-4-1 du Code Monétaire et Financier qui précise que la classification des risques s’élabore « (…) en fonction de la nature des produits ou services offerts, des conditions de transaction proposées, des canaux de distribution utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire d’origine ou de destination des fonds ».

    L’arrêté réaffirme également, en son article 2, que ces 6 axes réglementaires de la classification des risques doivent être utilisés « préalablement au lancement de nouveaux produits, services ou pratiques commerciales, y compris le recours de nouveaux mécanismes de distribution et à des technologies nouvelles ou en développement, en lien avec des produits et services nouveaux ou préexistants. »

    Toutefois, l’arrêté innove car, à ces exigences préexistantes, il ajoute une autre dimension : il précise en effet que « pour élaborer la classification des risques, les assujettis prennent notamment en compte » :

    • les informations diffusées par le ministre chargé de l’économie;
    • celles transmises par TRACFIN
    • les informations communiquées par le Groupe d’action financière (GAFI) et notamment les listes des juridictions à haut risques ou sous surveillance qu’il établit
    • les publications de l’OCDE et notamment les listes publiées conjointement avec l’UE relatives aux juridictions non coopératives en matière fiscale ou adoptées en application de l’article 238-0 A du Code général des impôts.
    • les publications de l’Union européenne et notamment les listes des pays tiers à haut risque établies par la Commission européenne en application de l’article 9 de la Directive (UE) 2015/849 du 20 mai 2015 (autrement appelée « la 4è Directive anti-blanchiment »).

    Ces précisions ne sont que la consécration de la position de l’ACPR (Autorité de Contrôle Prudentiel et de Régulation) formulée lors de ses récentes décisions en la matière (voir en cela notamment la décision rendue le 24 décembre 2020) mais leur reprise au sein de cet arrêté les rend opposables à tous les assujettis du monde financier au sens large.

    Ceci renforce encore plus l’importance et l’impact des sources « internationales » sur la veille réglementaire et l’exercice de l’activité des assujettis exerçant sur le territoire français.

    renforcement des contrôles pour les prestataires extérieurs (articles 9 et 10 de l’arrêté)

    Le recours à un prestataire extérieur a déjà donné lieu à de nombreuses précisions émanant tant de l’ACPR, que de l’AMF, ou encore du Code Monétaire et Financier et de l’arrêté du 3 novembre 2014, sans compter les récentes orientations idoines de l’EBA (European Banking Authority). La matière était donc clarifiée pour les professionnels assujettis.

    L’arrêté apporte néanmoins sa pierre à l’édifice en faisant la synthèse des préconisations déjà existantes et en les adaptant à la matière spécifique qu’il vise, à savoir la LCB-FT.

    Au-delà de l’obligation d’informer l’ACPR de la conclusion d’un contrat d’externalisation, il apporte une plus grande sécurité juridique aux assujettis et une base réglementaire indéniable.

    L’arrêté énonce ainsi les dix précisions à détailler obligatoirement dans le contrat d’externalisation à savoir :

    • le détail des tâches externalisées
    • l’obligation d’information qui pèse sur le prestataire en cas d’impact sensible sur la capacité de mener à bien lesdites tâches
    • l’obligation de fournir au prestataire les informations nécessaires à l’exercice desdites tâches
    • l’obligation pour le prestataire de prévoir un mécanisme de secours et de continuité
    • l’obligation pour le prestataire de transmettre à l’assujetti toute information nécessaire à l’accomplissement de ses obligations en matière de LCB-FT
    • les exigences en matière d’obligation de formation dans le chef du prestataire
    • les modalités de protection des informations confidentielles et de secret professionnel
    • les modalités de contrôle sur le prestataire externe (contrôle sur place et sur pièces)
    • l’interdiction de modification substantielle unilatérale de la prestation
    • l’obligation de donner accès à l’ACPR ou à toute autorité étrangère équivalente dans le cadre d’un contrôle (sur place et sur pièces).

    Sur ce point précis, l’arrêté n’innove pas véritablement mais donne une envergure nouvelle à des recommandations et exigences disparates qu’il rend opposables à tous les assujettis.

    les conditions de mise en place de la tierce introduction sont également réaffirmées (article 8 de l’arrêté)

    Le cas spécifique de la Tierce introduction fait l’objet de l’article L 561-7 du Code monétaire et financier qui en précise notamment le régime juridique et les modalités. Il fait également l’objet de recommandations de l’ACPR, de l’AMF et du GAFI (n°17).

    Toutefois, l’arrêté ajoute des éléments d’un point de vue opérationnel en précisant les dispositions qui doivent être visées dans les procédures internes de l’organisme assujetti à savoir les modalités :

    • de mise en œuvre des obligations en matière d’entrée en relation
    • de sélection des tiers introducteurs selon une approche par les risques qui prend notamment en considération :
      • le risque pays de ce dernier
      • les obstacles juridiques éventuels relatifs à la transmission des informations nécessaires à la LCB-FT
      • l’équivalence de supervision et de réglementation auxquelles le tiers introducteur est soumis, notamment en matière de conservation des données
    • de contrôle par l’organisme assujetti:
      • des mesures prises par le tiers introducteur
      • de la qualité des informations et documents transmis par ce dernier.

    Là encore, l’arrêté n’innove pas véritablement mais donne une envergure nouvelle à des recommandations et exigences disparates qu’il rend ainsi opposables à tous les assujettis.

    le cas particulier des opérateurs exerçant en france via des agents ou des distributeurs

    L’article 28 de l’arrêté vient quant à lui apporter une précision supplémentaire en phase avec l’évolution du monde de la finance.

    Il dispose en effet que le recours à :

    • des distributeurs de monnaie électronique rend également applicable la mise en œuvre des dispositions de l’arrêté relatives au dispositif LCB-FT (chapitre 1er), aux procédures internes (chapitre 2) et au dispositif spécifique au gel des avoirs (chapitre 3), tout en prenant en considération les spécificités des risques inhérents à ces recours.

    Les modes de distribution et de commercialisation ne doivent donc pas faire obstacle à la mise en œuvre des exigences centralisées par l’arrêté en matière de LCB-FT, qui a vocation à s’appliquer en toutes circonstances.

    L’arrêté du 6 janvier 2021 innove plus par sa forme que par son contenu lorsqu’il envisage les interactions des assujettis avec leur environnement. Analysons maintenant les conséquences de l’arrêté en termes d’organisation interne.

    les exigences en matière d’organisation interne, de gouvernance et de procédures réaffirmées

    En termes d’organisation interne des entités assujetties, l’arrêté du 6 janvier 2021 distingue la conformité spécifique du LCB-FT, précise les exigences des procédures internes, renforce les dispositifs de gel des avoirs, inclut les filiales des groupes dans ces principes et rappelle le partage des tâches et des responsabilités.

    dissociation de la conformité spécifique à la lcb-ft et organisation du dispositif de contrôle interne lcb-ft (chapitre 4)

    L’arrêté commence par fixer le cadre désormais applicable à tous les professionnels assujettis, défini par les articles R. 561-38-3 et R. 562-1 du Code monétaire et financier.

    Ces dispositions s’appliquent désormais à tous les professionnels qu’ils soient soumis au régime dit « solvabilité II » et au règlement délégué du 10 octobre 2014 (les entreprises d’assurances) ou à l’arrêté du 3 novembre 2014 (les entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR).

    L’arrêté précise le contour spécifique minimal dans le domaine de la LCB-FT.

    Ainsi, le dispositif de contrôle interne doit-il avoir pour objet de vérifier les six aspects suivants :

    • la conformité des opérations exécutées
    • le respect de la politique définie par la gouvernance
    • la qualité de l’information destinée au responsable de la mise en œuvre du dispositif LCB-FT
    • l’exécution sans délai (ou dans des délais raisonnables) des mesures correctrices
    • la mise en place par les filiales et les succursales établies à l’étranger du dispositif de contrôle de la conformité des opérations
    • la qualité des systèmes d’information et de communication nécessaires à la mise en œuvre des obligations de LCB-FT (notamment en matière de gel des avoirs).

    L’article 16 fait quant à lui un focus sur la périodicité des contrôles qui doivent permettre « aux organismes assujettis de contrôler, sur une période aussi courte que possible et qui ne saurait excéder cinq ans, l’ensemble de leur activité. »

    Les places respectives du contrôle permanent et du contrôle périodique sont ainsi réaffirmées par l’arrêté qui dispose en outre que « les moyens affectés par l’organisme assujetti au contrôle sont suffisants pour permettre le contrôle de l’ensemble de son activité durant la période mentionnée » de cinq années.

    Autre point important, l’arrêté détaille la suite à apporter aux rapports des contrôles réalisés, tant en termes de périodicité que de destinataires. Autant de précisions qui rentrent maintenant dans le champ réglementaire.

    En matière de contrôle interne, l’arrêté uniformise le corpus réglementaire applicable et y apporte des précisions louables, s’inscrivant dans la droite ligne des dispositions antérieures à l’arrêté mais leur conférant une dimension nouvelle.

    le rappel des exigences en matière de procédures internes

    Il en va de même des exigences concernant les procédures internes. L’arrêté se situe dans la lignée de la pratique mais apporte un niveau de détail appréciable pour les professionnels.

    Les procédures font l’objet d’un chapitre complet et constituent l’un des piliers de l’arrêté.

    L’article 6 liste ainsi les points spécifiques à la LCB-FT que doivent reprendre les procédures. Celles-ci constituent un dispositif de maîtrise du risque essentiel pour les activités financières. Elles sont d’autant plus importantes qu’elles sont élaborées en interne et ont également une incidence sur la responsabilité de la gouvernance.

    L’arrêté est en cela une aide précieuse car il énumère les points que ces procédures doivent traiter, à savoir les modalités :

    • d’élaboration de la classification des risques
    • de vigilance mises en œuvre à l’égard de la clientèle (lors de l’entrée en relation et en fonction du profil de risque de la relation d’affaires)
    • de définition du profil de risque de chaque relation d’affaires (l’arrêté détaille également les éléments à prendre en considération)
    • de mises à jour du profil de risque
    • de l’examen renforcé
    • d’information et de déclaration à TRACFIN
    • de partage des informations nécessaires à la LCB-FT
    • de protection de la confidentialité des déclarations de soupçon
    • de conservation des informations et des documents (ce point est très détaillé en fonction de la nature de l’information et/ou du document).

    Toutes ces précisions ne peuvent qu’être saluées par les professionnels car elles constituent une sécurité juridique supplémentaire dans le cadre de leur activité. Elles s’inscrivent certes dans la pratique et les recommandations déjà existantes mais leur donnent une base réglementaire plus solide.

    L’arrêté va encore plus loin dans le détail qu’il procure aux professionnels lorsqu’il envisage, dans son article 7, le cas spécifique de l’encaissement de chèque et y énumère le détail des procédures dédiées.

    Nous ne pouvons que nous réjouir de ce degré de détail apporté par l’arrêté en matière de procédures internes. Il vient en cela standardiser les pratiques existantes et apporter de la sécurité juridique aux professionnels.

    renforcement des exigences en matière de gel des avoirs

    Ce sujet est considérablement renforcé par la publication de l’ordonnance du 4 novembre 2020 et l’arrêté du 6 janvier 2021, par la prise en considération de sources externes et internationales.

    Il constitue en effet un sujet fondamental de l’arrêté du 6 janvier 2021 qui lui consacre le chapitre 3 intégralement.

    Sur la base du Code monétaire et financier auquel il fait référence, l’arrêté précise, dans son article 11, les exigences minimales en matière de dispositif de gel des avoirs et détaille à nouveau le contenu des procédures dédiées en son article 12.

    S’il tient certes compte de la spécificité de l’activité des organismes assujettis, le dispositif à mettre en place doit permettre de détecter les opérations ayant pour effet de contourner sciemment ou volontairement les mesures de gel des avoirs. Il doit également permettre de centraliser et coordonner l’analyse et le traitement des alertes générées par ces détections.

    Quant aux procédures proprement dites, elles doivent prévoir les modalités :

    • d’analyse des alertes
    • de mise en œuvre des mesures de gel des avoirs
    • de levée de ces mesures
    • d’information du ministre chargé de l’économie lors de la mise en œuvre.

    Toutes ces précisions, bienvenues, constituent véritablement la nouveauté de l’arrêté, qui définit clairement cet aspect de la LCB-FT et l’uniformise pour tous les assujettis.

    inclusion des filiales dans le mécanisme de conformité et de partage de l’information : les apports pour les groupes

    Autre apport non négligeable de l’arrêté, le chapitre 5 définit une plus grande sécurité d’exercice pour les groupes de sociétés, dans un souci de clarification.

    Ici encore, l’arrêté consolide les exigences déjà existantes, notamment pour les sociétés-mères qui sont tenues d’élaborer une classification des risques adaptée à la taille et à la nature du groupe.  Elles doivent également développer une méthodologie permettant à toutes les entités filiales d’élaborer leur classification des risques, en cohérence avec celle du groupe (article 21 de l’arrêté).

    Il en va de même pour l’organisation et les procédures mises en place par les entreprises-mères qui doivent permettre notamment d’assurer l’efficacité du dispositif LCB-FT, de réduire les risques auxquels le groupe est exposé et de garantir la transmission des informations (article 22 de l’arrêté).

    L’arrêté décline ainsi pour les groupes les exigences formulées au titre des entités individuelles, leur apportant par là même une meilleure sécurité juridique, sans toutefois révolutionner la matière.

    rappel des responsabilités et du partage des tâches

    Ici encore l’arrêté réaffirme des principes déjà existants comme la stricte indépendance entre les personnes exerçant des activités opérationnelles et les personnes dédiées à la seule fonction de contrôle des opérations (article 14).

    Il envisage également les fonctions respectives de responsable du contrôle permanent en LCB-FT (article 15) et celle du responsable du contrôle périodique en LCB-FT (article 17). Il précise toutefois que ces deux fonctions peuvent également être assurée par la personne en charge des contrôles permanents ou périodiques, telles que mentionnées dans l’arrêté du 3 novembre 2014.

    La matière LCB-FT acquiert certes en autonomie mais s’harmonise parfaitement avec l’organisation interne et l’organigramme existant au sein des organismes assujettis.

    Il en va de même avec la gouvernance et le rappel des responsabilités tels qu’issus des articles 25 et 26 de l’arrêté. Les dirigeants et l’organe de surveillance ont pour responsabilité de s’assurer que l’organisme se conforme aux obligations de LCB-FT. L’organe de surveillance est en sus tenu à un examen régulier de la politique, des procédures et du dispositif LCB-FT ainsi que des mesures correctrices mises en œuvre et de leur efficacité.

    Rien de véritablement novateur sur ce point précis, encore une fois, l’arrêté reprend des éléments déjà présents dans le corpus des textes existants, les synthétise et les précise en leur donnant force réglementaire en matière de LCB-FT.

     

     

     

    Du fait de l’arrêté du 6 janvier 2021, la LCB-FT a maintenant un texte de référence spécifique et autonome.

    Par ce travail de reprise des éléments jusque-là disséminés et les précisions concrètes apportées par cet arrêté, les organismes assujettis sont guidés dans la mise en œuvre des exigences qui deviennent dorénavant réglementaires.

    Cet arrêté s’inscrit donc dans une continuité tout en apportant un changement capital.

    Rien ne change véritablement quant aux exigences pratiques mais tout change fondamentalement, car ces dernières sont maintenant opposables à tous et feront très certainement l’objet de contrôles stricts de l’autorité de tutelle.

    L’arrêté du 6 janvier 2021 entre en vigueur le 1er mars 2021 et il précise que les assujettis ont un délai d’un an pour se mettre en conformité notamment pour les contrats d’externalisation conclus avant son entrée en vigueur.

    Les contrôles à venir en matière de LCB-FT seront encore plus exigeants. Il en va de la cohérence internationale de la LCB-FT.

    Auteur

    Jean-Jacques Bernard 

    Expert anti-corruption, éthique et conformité, intervenant formateur à L’ESBanque pour le Cycle Expert Conformité