La 3e directive sur la lutte antiblanchiment et contre le financement du terrorisme, transposée en droit français par l’ordonnance de janvier 2009 et les décrets de juillet et septembre 2009, a constitué la principale préoccupation des correspondants Tracfin et responsables conformité des établissements bancaires et financiers dans les mois qui viennent de s’écouler.
Le questionnaire de lutte antiblanchiment à destination de l’Autorité de contrôle prudentiel (ACP) a également été revu et modifié pour intégrer les nouveautés réglementaires avec des questions qui parfois posent encore quelques problèmes d’interprétation aux établissements.
Ce questionnaire, rappelons-le, avait constitué au moment de sa mise en œuvre, il y a 10 ans, une excellente manière d’auto-évaluer les dispositifs des banques en la matière, mais cette cible apparaît désormais encore plus lointaine. Il sera, en effet, difficile pour la plupart des établissements de répondre positivement aux questions qui constituent le nouveau socle de la prévention du blanchiment.
Classification des risques : les grandes tendances
Le principal travail des établissements de crédit, comme des entreprises d’investissement, sociétés de gestion d’actifs et entreprises d’assurances, a consisté à mettre en œuvre une approche par les risques. Les classifications de risques de blanchiment ont progressivement vu le jour, puisqu’il s’agit d’évaluer le risque, à partir des axes d’analyse prévus par la réglementation : nature des produits ou des services offerts, conditions des transactions proposées, canaux de distribution utilisés ainsi que caractéristiques des clients.
Si les caractéristiques des clients n’ont pas posé trop de problèmes pour les établissements, qui différenciaient pour certains, déjà, leurs niveaux de diligences en fonction du type de contreparties et de la domiciliation du client, en revanche, les autres axes ont posé plus de questions. Concernant la nature des produits, certains d’entre eux considérés comme peu risqués par les textes réglementaires vont bénéficier d’une note de risque peu élevée puisque le régulateur estime qu’en l’absence de soupçons de blanchiment, les diligences prévues par les articles L. 561-5 et 6 du Code monétaire et financier (Comofi) ne sont pas à réaliser (encadré 1). En revanche, l’appréciation est totalement laissée aux établissements quant aux autres produits, avec néanmoins un bémol : il apparaîtra difficile de justifier aux régulateurs un niveau de risque faible pour d’autres produits que ceux cités par les textes. Par ailleurs, cette appréciation interne permettra d’alléger les mesures de vigilance en termes de suivi mais pas d’identification de la clientèle. Un niveau de risque plus élevé (par exemple, concernant des produits dérivés dans les activités de marché ou opérations en espèces) pourra être justifié par des typologies de cas de blanchiment intervenus sur certains produits et diffusés par le Gafi ou les CRF (Cellule nationale de renseignement financier, Tracfin en France). Par ailleurs, il est indispensable de prendre en compte a minima les cas de risques forts cités par la réglementation.
Des mesures de vigilance complémentaires
En effet, des mesures de vigilance complémentaires sont notamment prévues dans les cas suivants :
- le client ou son représentant légal n’est pas physiquement présent ;
- les personnes sont politiquement exposées ;
- le produit ou l’opération favorise l’anonymat ;
- l’opération est pour compte propre ou pour compte de tiers effectuée avec des personnes physiques ou morales domiciliées dans un État ou un territoire dont les insuffisances de la législation ou les pratiques font obstacle à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).
Par ailleurs, on retrouvera dans l’axe d’analyse « canaux de distribution », le cas où le client n’est pas physiquement présent (risque fort) ou lorsque l’entrée en relation est réalisée par des apporteurs, qu’ils soient régulés ou non.
Enfin, l’axe qui a certainement posé le plus de questions aux établissements a été celui des « conditions des transactions ». En effet, dans le cas d’un client existant, cet axe pourra s’alimenter des anomalies éventuelles détectées par les systèmes d’alerte, mais pour un prospect, il n’y a guère que le comportement atypique du client qui peut constituer un indice.
L’expérience d’élaboration de nombreuses classifications de risques (encadré 2) amène surtout à éviter de trop sophistiquer le dispositif et de garder en tête l’objectif de la classification qui est de différencier les diligences à l’entrée en relation en fonction des risques identifiés et bien sûr, de mieux cibler les alertes à analyser.
Actualiser les classifications de risque
Pérenniser et actualiser les classifications de risque est aussi un vrai sujet pour les établissements bancaires et financiers. Pour un client qui est à l’initiative d’opérations ou de produits qui n’étaient pas prévues au départ, il faudrait effectivement réappliquer la classification pour obtenir une notation actualisée en fonction des produits réellement utilisés par le client. Mais cette actualisation suppose une interface entre l’outil d’analyse comportementale par exemple et la classification des risques, certes nécessaire mais difficile à mettre en place rapidement.
Par ailleurs, la classification doit aussi évoluer sans délai dès qu’un nouveau produit est créé dans un établissement. Ceci suppose que les nouveaux produits soient notés en matière de risque LCB-FT lors des comités nouveaux produits, ce qui nécessite une modification des procédures nouveaux produits et du contenu des éléments analysés lors du comité, ainsi qu’un nouveau processus de transmission d’information entre ce comité et les personnes en charge de maintenir la classification des risques.
Dernier élément de complexité : l’homogénéité des classifications et des approches dans les groupes multi-activités dans lesquels, par exemple, une filiale productrice de contrat d’assurances entrant dans les critères de produits à risque faible n’aura pas la même classification des risques vis-à-vis de ce client qu’une agence du même groupe qui est susceptible de vendre des produits bancaires au même client.
Que manque-t-il aux établissements pour être prêts ?
• Appliquer la classification au stock de clients existants, compte tenu de l’état des données informatisées dans les établissements, est une tâche ardue et l’analyse des dossiers papier est difficilement faisable dans les délais impartis dans les grandes banques à réseau. C’est dire que beaucoup ne seront pas prêts et c’est pourquoi la priorisation est essentielle, mais aussi la simplicité de la classification.
Une des priorités consiste à repérer dans le stock de clients existants les personnes politiquement exposées (PPE), ce qui suppose de s’être équipé de l’une des bases de données de marché pour repérer plus facilement ces derniers.
• Mettre en place des procédures adaptées à la 3e directive paraît plus simple et pourtant rien de plus compliqué que d’obtenir une procédure simple, compréhensible par tous les acteurs qui devront l’utiliser dans la mesure où les cas particuliers sont nombreux (diligences allégées envers certaines catégories de clients à appliquer sous réserve de vérifier qu’ils rentrent bien dans cette catégorie, diligences complémentaires quand le client ressort risqué et dans les cas cités par la réglementation, diligences faites par des tiers, en distinguant ces derniers car les diligences ne seront pas les mêmes si le tiers est un CIF ou un IOB par exemple…).
Dans le cadre de la mise en place de ces procédures, les établissements doivent désormais se référer non seulement au cadre législatif et réglementaire déjà cité, mais également aux modifications du CRBF 97.02 pour les établissements de crédit, de paiement et les entreprises d’investissement, la réglementation AMF pour les sociétés de gestion d’actifs et les lignes directrices diffusées par les régulateurs et Tracfin et qui constituent les bonnes pratiques de la profession…
• Mettre en conformité les outils reste la tâche la plus ardue. De ce côté, les établissements auront du mal à être prêts à temps, car les sujets sont vastes :
- intégrer la classification des risques dans les outils d’entrée en relation n’est pas forcément une tâche aisée, surtout dans la banque de détail où les établissements hésitent à donner au chargé de compte l’accès à la classification des risques. Cette classification devra alors être utilisée dans les back-offices gérant les vérifications d’entrée en relation et celle-ci ne pourra être effective qu’une fois collectées les pièces qui correspondent à la cotation du client, cette entrée en relation en deux étapes ne simplifiant pas forcément les processus;
- mettre en cohérence l’approche par les risques et les outils d’analyse comportementale est également un véritable projet, dans un cadre où les établissements sont encore en cours de déploiement de leurs outils, soit à l’international ou dans certaines activités (comme les activités de marché).
On peut là encore procéder par étapes, la classification servant tout d’abord à prioriser les alertes à analyser avant d’intégrer totalement cette approche par les risques dans les fonctionnalités d’analyse comportementale servant à détecter automatiquement les cas atypiques. Par ailleurs, certains des indices de fraude fiscale définis dans le décret de juillet 2009 doivent aussi être rajoutés aux autres indices de blanchiment paramétrés dans ces outils.
Une amélioration durable des dispositifs
Face à ces enjeux et ces projets très lourds pour les établissements, il reste à espérer que l’application de ces dispositions améliorera durablement les dispositifs de prévention et permettra de lutter efficacement contre le fléau du blanchiment, but ultime de ces réglementations.
