C’est la rentrée pour beaucoup de personnes mais les fraudeurs prennent-ils des congés ? Dans tous les cas, la réglementation fait également sa rentrée avec la 4ème Directive qui entre en vigueur en octobre 2018, la 5ème directive qui vient d’être approuvée par le Parlement Européen et un corpus réglementaire qui sera sûrement mis à jour en France compte-tenu de toutes les évolutions qui sont parues ces dernières années. Les sanctions s’accumulent dans une volonté de faire évoluer la qualité et l’efficacité des dispositifs mis en place et de faciliter la priorisation de certains plans d’actions. Voilà de quoi faire déborder les feuilles de route des responsables Conformité.
1. Les évolutions réglementaires
La 4ème Directive entre bien en application effective au 1er octobre 2018. Le décret n° 2018-284 du 18 avril 2018(1) en précise les modalités d’application en France.
Nous retiendrons principalement les éléments suivants :
• Renforcement du périmètre des assujettis.
• Elargissement de la notion de relation d’affaires (art L. 562-2-1 du CMF)(2).
Celle-ci s’entend de la relation professionnelle ou commerciale avec le client, incluant le cas échéant le bénéficiaire effectif
• Précisions sur les bénéficiaires effectifs (art R. 561-3).
– Cas du Bénéficiaire effectif dans le cadre d’un placement collectif quand aucune personne physique n’a pu être identifiée :
— Lorsque le placement collectif est une société, la ou les personnes physiques représentants légaux déterminées conformément aux dispositions de l’article R. 561-1, ou lorsque ce placement collectif est géré par une société de gestion, la ou les personnes physiques dirigeant effectivement cette société de gestion (…).
— Lorsque le placement collectif n’est pas une société, la ou les personnes physiques qui assurent la direction effective de la société de gestion au sens du 4° du II de l’article L. 532-9.
– Dans le cas d’une association, une fondation, un fonds de dotation ou un groupement d’intérêt économique, le bénéficiaire effectif est :
— Le ou les représentants légaux de l’association.
— Le président, le directeur général ainsi que, le cas échéant, le ou les membres du directoire de la fondation.
— Le président du fonds de dotation.
— La ou les personnes physiques et, le cas échéant, le représentant permanent des personnes morales, désignées administrateurs du groupement d’intérêt économique.
– Des précisions lorsque le client intervient dans le cadre d’une fiducie au sens de l’article 2011 du code civil ou de tout autre dispositif juridique comparable relevant d’un droit étranger.
– Enfin les cas d’exemption de recherche de bénéficiaire effectif restent (art R. 561-8) : le client est une société dont les titres sont admis à la négociation sur un marché réglementé en France, dans un autre Etat membre de l’UE, dans un autre Etat partie à l’accord sur l’EEE ou dans un pays tiers équivalent (quant aux règles de transparence notamment(3)).
• Précisions sur la notion de Personnes Politiquement Exposées (Article R. 561-18) :
– Des ajouts et des suppressions sur les personnes exposées à des risques particuliers en raison de ses fonctions (exercée ou a exercé depuis moins d’un an) :
— Ajout des représentants des organes dirigeants des partis et groupes politiques français et étrangers.
— Suppression des consuls et consuls honoraires
– Précisions sur les personnes connues pour être des membres directs de la famille
— Le conjoint ou le concubin notoire.
— Le partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère.
— Les enfants, ainsi que leur conjoint, leur partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère.
— Les ascendants au premier degré.
– Précisions sur les personnes étroitement liées
— Les personnes physiques qui, conjointement avec la personne mentionnée au I, sont bénéficiaires effectifs d’une personne morale, d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable de droit étranger.
— Les personnes physiques qui sont les seuls bénéficiaires effectifs d’une personne morale, d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable de droit étranger connu pour avoir été établi au profit de la personne mentionnée au I.
— Toute personne physique connue comme entretenant des liens d’affaires étroits avec la personne (…).
• Renforcement des vérifications de la clientèle
– Il n’est plus fait référence uniquement à la notion d’identification de la clientèle : le CMF parle dorénavant d’identification et de vérification de la clientèle. Il en est de même pour les bénéficiaires effectifs et les clients occasionnels.
– Le processus d’identification et de vérification sera réalisé également lorsque l’établissement a de bonnes raisons de penser que l’identité de ses clients et les éléments d’identification précédemment obtenus ne sont plus exacts ou pertinents (Art. R. 561-11).
– Le décret apporte des précisions sur les modalités d’identification et de vérification des clients notamment dans le cadre du recours à un moyen d’identification électronique délivré dans le cadre d’un schéma français d’identification électronique notifié à la Commission européenne. Le cas échéant, vérification au moyen de la copie d’un document officiel en cours de validité avec photo (préférable à toute autre information relative à ce document officiel sans que ce document soit lui-même présent).
Des précisions sont apportées dans le cadre de l’identification et vérification de l’identité du bénéficiaire des contrats d’assurance-vie ou de capitalisation hors cas d’exemption(4).
• L’évolution de la notion de vigilance complémentaire
– La notion de « Mesures de vigilance complémentaires » est remplacée par « Obligations en cas de risque élevé de blanchiment de capitaux ou de financement du terrorisme. »
• Le décret précise l’obligation de vigilance spécifique vis-à-vis des clients, personnes physiques ou morales, afin de s’assurer qu’ils ne font pas l’objet d’une mesure de gel décidée par l’Union européenne (par le biais de règlements) ou par le gouvernement français (par le biais d’arrêtés) en matière de lutte contre le financement du terrorisme (art. L. 562-2 CMF). Il convient de s’assurer également que les pays concernés par les clients/transactions ne font pas l’objet de sanctions financières internationales, comme les embargos (décisions prises par le Conseil de sécurité des Nations unies ou par le Conseil de l’Union européenne (art. L. 562-3 CMF).
– La France crée un registre national actualisé des personnes faisant l’objet d’une mesure de gel des avoirs. Ce registre regroupe les noms des personnes physiques ou morales publiés au journal officiel français, au journal officiel de l’Union européenne ou dans les résolutions du Conseil de sécurité des Nations Unies.
Les apports de la 5ème Directive
La 5ème Directive a été approuvée par le parlement européen le 19 avril 2018(5). La France ayant déjà largement anticipé le contenu de la 5ème Directive, l’impact de celle-ci ne sera pas une révolution mais un apport de précisions. L’objectif est de continuer à renforcer la lutte contre le blanchiment et le financement du terrorisme en augmentant la transparence et en s’adaptant aux nouvelles technologies (dont les crypto-monnaies en sont une émanation).
La 5ème Directive porte ainsi sur :
• L’augmentation du périmètre des assujettis : citons notamment les agents immobiliers qui sont intermédiaires dans le domaine de la location de biens (lorsque loyer mensuel > 10 000 Eur), les prestataires d’échange entre monnaie virtuelle et monnaie légale ainsi que les négociants et intermédiaires actifs dans le commerce de l’art.
• La généralisation des registres : le renforcement des moyens d’identification et de vérification avec la généralisation des registres des ayants-droits et l’interconnexion entre les registres nationaux. Les conditions d’accès à ces registres sont à définir au niveau national(6).
• La référence au règlement européen eIDAS relatif aux normes européennes d’identification électronique (équivalent au face à face)(7).
• La généralisation de registre centraux de recherche de données : à venir des fichiers des comptes bancaires en Europe (équivalent FICOBA en France) et des biens immobiliers.
• Augmentation de la vigilance sur la carte prépayée en rabaissant le seuil des exigences d’identification de l’identité pour les cartes de 250 Eur à 150 Eur.
• La surveillance accrue des Fintechs, qui perdent leur spécificité d’entreprises purement technologiques pour devenir des actrices à part entière de l’écosystème financier. Le secteur des crypto-monnaies, par exemple, sera soumis à la réglementation et les plateformes de change et de stockage des monnaies virtuelles devront vérifier l’identité de leurs clients.
• Le renforcement de la surveillance sur la monnaie électronique.
• La protection des lanceurs d’alerte y compris dans le domaine LCB/FT.
La volonté de transparence est louable même si elle peut faire débat à l’heure où RGPD renforce la protection des données personnelles.
Ces évolutions s’accompagnent de nouvelles lignes directrices dont celles conjointes de l’Autorité de contrôle prudentiel et de résolution et de Tracfin sur les obligations de déclaration et d’information à Tracfin(8). Elles précisent notamment :
• Les informations relatives à la connaissance de la relation d’affaires à collecter principalement.
• Les mesures de vigilance à appliquer vis-à-vis de la clientèle occasionnelle et dans certains types d’opération dont celles relatives au rapatriement de fonds provenant de l’étranger avec régularisation fiscale réalisées par leur client.
Les principes d’application sectoriels relatifs aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme dans le cadre du droit au compte ont été mises à jour en avril 2018 et reprécise les attendus quant à la relation d’affaires.
Les lignes directrices constituent de bons supports pour bâtir des procédures internes tout en restant vigilant au contenu des textes réglementaires de référence.
A noter également les Orientations communes(9), prises en application de l’article 25 du règlement (UE) 2015/847, « relatives aux mesures que les prestataires de services de paiement doivent prendre pour détecter des informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire, ainsi que les procédures devant être mises en place pour gérer un transfert de fonds qui n’est pas accompagné des informations requises ».
2. Une jurisprudence qui ne faiblit pas
Depuis début 2018, de nouvelles sanctions ont été prononcées en matière de LCB/FT(10). En tout, c’est environ 20 Millions d’euros de sanctions depuis janvier 2018 sur le seul sujet LCB/FT, une bonne part reposant sur le secteur des assurances.
Les principaux griefs qui ont été prononcés portent sur :
• La classification des risques
– Cette classification est au cœur des dispositifs LCB/FT et se doit d’être en phase avec l’activité et le niveau de risque de ces activités au regard du risque LCB/FT(11). Cette classification doit également servir à la construction d’échantillons pertinents pour les fonctions de contrôle interne.
• L’adéquation des procédures aux exigences réglementaires
-La mise à jour des procédures et leur conformité aux exigences réglementaires sont bien évidemment à la base de tout dispositif de maîtrise des risques réglementaires. Ces procédures doivent être suffisamment précises pour permettre au personnel de savoir appliquer un niveau de vigilance adapté au risque tout en conservant leur capacité d’interrogation.
• Les obligations de vigilance
– Que ce soit dans le cadre de la connaissance client ou de la vigilance complémentaire, les dispositifs mis en place n’ont pas permis de disposer de la documentation adéquate(12) ni d’identifier certains cas, notamment de Personnes Politiquement Exposées (PPE) ou de clients enregistrés ou établis dans un État ou un territoire non coopératif.
– Des défauts ont également été relevés dans la vigilance renforcée.
• Le suivi de la relation d’affaire
– La connaissance client et la mise à jour de celle-ci sont une condition essentielle pour une vigilance adaptée quant à la normalité des opérations. La qualité de ce suivi est une condition à une vigilance adaptée. Le système de suivi doit également permettre la détection des opérations atypiques(13). Des défauts sont constatés dans le suivi automatisé des relations d’affaires(14).
• La qualité des examens renforcés
– Outre la pertinence des divers algorithmes qui structurent les alertes, il est important que les examens renforcés soient de qualité : qualité des réponses apportées, pertinence et fiabilité des documents censés être probants, traçabilité des diligences réalisées. L’objectif est notamment de pouvoir justifier pourquoi certains examens renforcés ne donnent pas lieu à une déclaration de soupçon.
• La qualité des déclarations de soupçon
Par qualité, il faut entendre :
– Des déclarations faites à bon escient et une justification des examens renforcés qui permet de comprendre pourquoi il n’y a pas eu de déclaration(15).
– Des déclarations faites dans des délais raisonnables, illustrant la réactivité du dispositif.
– Des déclarations suffisamment claires et précises pour que des recherches complémentaires puissent être menées et illustrant la qualité des dispositifs de surveillance en amont.
• Des dispositifs de contrôle permanent et périodique qui n’ont pas toujours joué leur rôle(16).
– Les griefs ont porté notamment sur des moyens insuffisants pour traiter les dossiers en alerte. Dans certains cas, les recommandations du contrôle périodique n’ont pas été suivies d’actions.
• Enfin des griefs ont porté sur le dispositif de gel des avoirs.
Nous pouvons relever ainsi :
• Des systèmes de filtrage qui ne portent pas sur tout le périmètre de la clientèle au sens large.
• Des systèmes qui n’ont pas forcément les informations pour filtrer l’ensemble des intervenants dans l’opération.
• Des systèmes de filtrage qui ne sont pas mis à jour autant que nécessaire(17).
Pour conclure, la vigilance en matière de LCB/FT reste plus que jamais d’actualité. Par-delà les procédures mises en place et les systèmes automatisés déployés, le superviseur nous rappelle l’importance de l’efficacité des dispositifs. Rappelons alors que ces sujets sont avant tout du domaine des premières lignes de maîtrise, c’est à dire des opérationnels qui, tous les jours, doivent continuer à ériger le doute en vertu et maintenir leur vigilance opérationnelle, une des plus efficaces : en effet, elle présente l’avantage de se situer généralement en amont des opérations et de leur réalisation et de pouvoir s’appuyer sur l’expertise du personnel.
___________
(1) Ce décret a pour objectif de renforcer le dispositif français de lutte contre le blanchiment et le financement du terrorisme, en application de l’ordonnance n° 2016-1635 du 1er décembre 2016, par la transposition de la directive n° 2015/849 du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme.
(2) Une relation d’affaires est nouée lorsqu’une personne mentionnée à l’article L. 561-2 engage une relation professionnelle ou commerciale qui est censée, au moment où le contact est établi, s’inscrire dans une certaine durée (…). Une relation d’affaires est également nouée lorsqu’en l’absence d’un tel contrat un client bénéficie de manière régulière de l’intervention d’une personne susmentionnée pour la réalisation de plusieurs opérations ou d’une opération présentant un caractère continu (…).
(3) Cf directive 2004/109/ CE du Parlement européen et du Conseil du 15 décembre 2004 modifiée sur l’harmonisation des obligations de transparence concernant l’information sur les émetteurs dont les valeurs mobilières sont admises à la négociation sur un marché réglementé.
(4) Notamment pour les contrats d’assurance vie dont la prime annuelle ne dépasse pas 1 000 euros ou dont la prime unique ne dépasse pas 2 500 euros, pour autant qu’il n’existe pas de soupçons de blanchiment de capitaux ou de financement du terrorisme.
(5) Ce qui laisse 18 mois aux états membres pour appliquer le texte dans leur droit respectif.
(6) Plateforme centrale européenne instituée par la Directive UE Directive (UE) 2017/1132 du Parlement européen et du Conseil du 14 juin 2017 relative à certains aspects du droit des sociétés.
(7) Règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. Pour vérifier sir la signature électronique est qualifiée, il convient de se référer à la liste Trust List des TSP sur le site de la commission Européenne.
(8) Document de nature explicative.
(9) JC/GL/2017/16 16/01/2018 (dont ESMA et EBA).
(10) SOCIETE D venant aux droits de la SOCIETE C Procédure no 2017-03 (800 000 Eur), SOCIÉTÉ B venant aux droits de la SOCIETE A Procédure no 2017-02 (200 000 Eur), CNP ASSURANCES Procédure no 2017-01 (8 M° Eur), CAISSE FÉDÉRALE DE CRÉDIT MUTUEL Procédure no 2017-04 (1 M°Eur), SIGUE GLOBAL SERVICES LTD Procédure no 2017-06 (60 000 Eur et 100 000 Eur), CAISSE FÉDÉRALE DU CRÉDIT MUTUEL NORD EUROPE Procédure no 2017-05 (1,5 M° Eur), ÉTABLISSEMENT DE CRÉDIT B Procédure no 2017-08 (8 M° Eur)
(11) « Une classification des risques au titre de la LCB-FT doit prendre en compte le degré d’exposition au risque résultant de chaque produit émis ou commercialisé » (extrait sanction CNP, page 5).
(12) Exemple : absence ou de défaut de mise à jour de l’information sur la situation financière, absence ou inexactitude de la profession renseignée.
(13) « Considérant que ni la cartographie des risques, ni les typologies de SP qui en résultent ne comprenaient, au moment du contrôle, de règle permettant de détecter une opération atypique au regard des revenus ou du patrimoine du client » (sanction Caisse Fédérale du CM Nord Europe).
(14) « L’outil de suivi automatisé Y mis en place par l’établissement de crédit B pour détecter les opérations atypiques s’avère incomplet et insuffisamment efficace ; que, d’une part, il ne comporte aucun critère, scénario ou seuil en lien avec un crédit à la consommation alors que ce produit est largement distribué par l’établissement de crédit B (…); que, d’autre part, les scénarios paramétrés dans cet outil et relatifs aux retraits d’espèces ne mentionnent pas la détection du FT parmi les multiples objectifs qui leur sont assignés (…) (sanction ETC anonyme Mars 2018).
(15) « Que l’avertissement adressé par la caisse à la cliente de cesser ce type d’opérations ne peut se substituer à l’envoi d’une DS (…) « En raison de l’absence de justification économique apparente d’une telle opération, les éléments réunis sur la provenance immédiate des fonds, soit des avances sur des contrats d’assurance sur la vie, était sans conséquence sur la nécessité d’adresser sans délai une DS à Tracfin » (sanction Caisse Fédérale de Crédit Mutuel, page 7 et 8).
(16) « Les contrôles de second niveau du dispositif de LCB-FT sont insuffisants (…). « s’agissant de la base « Y », aucune opération n’a été analysée par le « service LAB » sur les 9 035 opérations détectées entre janvier et juin 2015 » (sanction Caisse Fédérale de Crédit Mutuel Nord Europe, page 5)
(17) Une mise à jour mensuelle n’est pas suffisante. « Le contrôle a posteriori de l’ensemble de ses clients, sur une base annuelle et non à chaque publication d’une nouvelle mesure, était insuffisant « (extrait sanction CNP).