Le paquet LCB-FT 2021 de l’Union Européenne

Un cap a pourtant été franchi en juillet 2021, avec la publication par la Commission européenne d’un paquet de propositions visant à repenser la structure des lois et réglementations LCB/FT européennes. Bien que ces mesures ne soient pas encore devenues des lois ou des réglementations, les banques et les autres entités obligées doivent s’attendre à une évolution drastique de la réglementation LCB/FT en Europe dans les mois à venir.

Le paquet LCB 2021 de l’UE contient quatre propositions législatives :

• Une nouvelle réglementation entérinant la création d’une nouvelle Autorité LCB pour l’UE (l’AMLA), qui agira en tant que seul superviseur LCB pour l’ensemble du marché unique européen.
• Une 6^e directive LCB qui définira les règles et procédures à appliquer par les superviseurs nationaux des États membres et les cellules de renseignement financier.
• Une mise à jour de la Réglementation relative aux transferts de fonds (Réglementation 2015/847), qui étendra son champ d’application et obligera les fournisseurs de services crypto à partager des informations sur les payeurs et les bénéficiaires lors des transferts de crypto-actifs.
• Une nouvelle réglementation, appelée le « Single Rulebook » de l’Union européenne – un ensemble de mesures préventives directement contraignantes pour les entités obligées opérant dans l’Union européenne.

Le « Single Rulebook » ( ou Règlement uniforme) sera clairement le changement le plus significatif pour le secteur privé, car il permettra de combler les lacunes existantes dans les réglementations nationales en matière de LCB, et de regrouper et codifier un ensemble de mesures préventives directement contraignantes pour les « entités obligées » (à savoir les banques, les compagnies d’assurance-vie, les fournisseurs de services de paiement, les sociétés d’investissement et certaines entités non financières comme les avocats, les comptables, les agents immobiliers, les casinos, les fournisseurs de crypto-actifs, les fournisseurs de services de financement participatif et les fournisseurs de crédit qui ne sont pas des établissements financiers).

Le processus législatif européen est en cours pour ces quatre propositions. Fin juin 2022, un accord provisoire a été trouvé sur les changements proposés à la Réglementation relative aux transferts de fonds, mais d’autres propositions, notamment les actes établissant l’AMLA et le Règlement uniforme, nécessiteront probablement de nouveaux débats et d’autres amendements.

« Il est clair que, dans toute l’UE, on assiste à une volonté politique croissante de trouver des réponses plus efficaces aux défis posés par la délinquance financière », indique Vincent Gaudel, expert en criminalité financière chez LexisNexis Risk Solutions. « Il existe actuellement un large consensus sur la plupart des propositions, qui pourraient assez rapidement devenir des obligations. Il est essentiel que les institutions financières et les autres organisations concernées prêtent une attention particulière aux propositions qui sont sur la table pour se préparer à ce qui va arriver. »

Cela vaut en particulier pour le « Single Rulebook », qui, une fois adopté, deviendra une réglementation directement contraignante pour toutes les entités obligées de l’Union européenne. Voici quelques tendances et évolutions à suivre de près :

Renforcement des mesures préventives : filtrage des PPE et au-delà

Les exigences réglementaires en matière de filtrage des relations d’affaires des personnes politiquement exposées (PPE) se sont accrues au fil des directives successives :

• Conformément aux recommandations et définitions du FATF, la troisième directive LCB (qui date de 2005) a donné la définition suivante des PPE : des « personnes physiques qui se voient ou se sont vu confier des fonctions publiques de premier plan », et exigé des entités obligées qu’elles déterminent si leurs clients étaient des PPE (cette obligation valait également pour les membres de la famille des PPE ou leurs proches collaborateurs),
• 10 ans plus tard, la quatrième directive a étendu le champ d’application des PPE aux PPE nationales,
• Les changements apportés par la cinquième directive LCB (en 2018) appelaient chaque État membre de l’UE à définir la liste des fonctions entrant dans la catégorie des PPE. Plusieurs pays de l’UE, dont l’Espagne, le Portugal ou la Pologne, ont alors établi leur propre liste des fonctions PPE.

Le Règlement proposé maintient les exigences en matière de filtrage des relations avec les PPE. « Pour la plupart des entités obligées, le filtrage des PPE est un contrôle courant et comme le Règlement ne modifie pas les exigences dans ce domaine, la gestion des PPE semble avoir atteint sa maturité en ce qui concerne les autorités de régulation », précise Vincent Gaudel. Il ajoute que si les entités obligées doivent continuer à prêter une attention particulière à l’application des mesures de filtrage des PPE adéquates, le Règlement proposé suggère également d’autres cas d’utilisation possibles pour ces contrôles.

En instaurant des exigences officielles pour prendre en compte des variables liées au risque client (par exemple la réputation du client ou son comportement), le Règlement proposé incite clairement les entités obligées à envisager la mise en place d’un filtrage des nouvelles négatives. Le filtrage des nouvelles négatives devient aujourd’hui indispensable pour affiner l’évaluation des risques de LCB/FT associés à un client.

« Le filtrage des nouvelles négatives est depuis assez longtemps une pratique courante chez les grandes institutions financières », explique Vincent Gaudel, en ajoutant que des référentiels sectoriels comme la FAQ du Groupe Wolfsberg sur le filtrage des nouvelles négatives (disponible uniquement en anglais) ont été mis en place pour harmoniser les pratiques sur le marché, car il manque parfois une base juridique claire aux réglementations LCB/FT. Le Groupe Wolfsberg pointe plusieurs domaines dans lesquels le filtrage des nouvelles négatives peut apporter une valeur ajoutée à la gestion des risques de délinquance financière : en permettant d’identifier les incohérences dans les explications d’un client sur la source des fonds, ou en facilitant le choix final d’intégrer ou non un client, ou de maintenir ou de mettre fin à la relation commerciale.

« Dans sa formulation actuelle, le « Single Rulebook » ne fait pas du filtrage des nouvelles négatives une exigence explicite, mais il apporte sur cette question une reconnaissance réglementaire qui était vraiment nécessaire », précise Vincent Gaudel. « Dans les faits, cela signifie que les régulateurs reconnaissent l’intérêt du filtrage des nouvelles négatives pour la gestion des risques de délinquance financière, et des directives comme celles de Wolfsberg fournissent aux entités obligées toute une palette de bonnes pratiques pour effectuer ces contrôles de la manière la plus efficace possible. »

De nouvelles dispositions pour la sous-traitance

Actuellement, les obligations relatives aux exigences de LCB/FT en matière de sous-traitance à une entité non obligée ne figurent pas dans la législation LCB de l’Union européenne. Cette situation devrait changer avec le « Single Rulebook ». La proposition prévoit maintenant un ensemble de limites et de contrôles applicables aux pratiques de sous-traitance. Par exemple, de nouvelles limites sont fixées et la proposition stipule que certaines tâches « ne doivent en aucun cas être externalisées ». Ces tâches incluent notamment :

• L’approbation de l’évaluation des risques,
• La rédaction et l’approbation de politiques, procédures et contrôles relatives aux PPE,
• L’attribution d’un profil de risque à un client potentiel,
• La définition des critères de détection des transactions suspectes, et
• Le signalement des activités suspectes à la cellule de renseignement financier.

« Il faut aussi garder à l’esprit que l’entité obligée reste entièrement responsable de sa conformité aux exigences LCB/FT », souligne Vincent Gaudel. « Même si le processus peut être externalisé, le risque et la responsabilité ne peuvent pas l’être. »

Trouver un juste équilibre entre la LCB/FT et la protection des données

La protection des données est un aspect crucial pour les institutions, et un domaine qui intéresse particulièrement les organes de régulation européens. Dans la mesure où certaines dispositions du Règlement unique impliquent le traitement de données à caractère personnel, les exigences en matière de respect de la vie privée prévues par le RGPD doivent être prises en compte. C’est notamment le cas du filtrage des nouvelles négatives, car ce procédé peut impliquer le traitement de catégories spéciales de données à caractère personnel (par exemple, des données sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, ou des renseignements génétiques ou biométriques), ainsi que de données à caractère personnel liées aux condamnations pénales ou aux infractions commises par la personne. Le RGPD interdit le traitement de ces données, sauf dans certaines situations, par exemple pour des « motifs impérieux d’intérêt général dans le cadre de la législation de l’UE ou d’un de ses États membres. Le Règlement proposé aurait une base juridique : une entité obligée pourrait traiter des « catégories spéciales » de données à caractère personnel si c’est strictement nécessaire à des fins LCB/FT. Mais la proposition prévoit également les garde-fous nécessaires lors du traitement de ces données à caractère personnel, notamment en matière de qualité des données source, de sécurité des données et de confidentialité.

La recherche d’un juste équilibre entre le besoin de traiter les données à caractère personnel pour les besoins des contrôles LCB/FT tout en respectant les lois sur la protection de la vie privée est un domaine dans lequel le débat actuel devrait modifier la forme des règlements définitifs. Ces points font toujours l’objet de débats intenses. Le Comité européen de la protection des données (EDPB), par exemple, a fait part de ses inquiétudes concernant certaines propositions, comme la suggestion que les entités obligées soient autorisées à traiter les données liées à des actes criminels présumés ou à des condamnations pénales. L’EDPB a estimé que cela présentait un risque élevé en matière de confidentialité des données et recommandé que de telles « allégations » soient clairement définies, ou soient purement et simplement supprimées.

La qualité des données, un enjeu majeur

Comme l’indique Vincent Gaudel, le Règlement uniforme proposé insiste sur la nécessité que les entités obligées puissent compter sur des données fiables pour leurs processus de filtrage. « En l’absence d’une liste mondiale des fonctions PPE, par exemple, certaines bases de données commerciales se sont développées pour éclairer la nature des relations avec les PPE », précise-t-il. « Mais ces bases de données doivent être utilisées avec beaucoup de précautions. Quel est leur champ d’application ? Quelles sources sont vérifiées ? Comment l’exactitude et l’exhaustivité des données est-elle contrôlée ? Et à quelle fréquence les données sont-elles actualisées ? »

L’utilisation d’informations exactes et mises à jour est la clé de voûte d’une solution de filtrage basée sur les risques. Pour la plupart des entreprises, cela impliquera une combinaison de données internes et de données issues de listes de surveillance externes. Ces deux catégories de données devront être exactes, crédibles, pertinentes et sécurisées :

Conclusion

Ces propositions laissent clairement entendre qu’en Europe comme dans le reste du monde, les différentes pièces du puzzle LCB/FT sont en train de se mettre en place. Le futur « Single Rulebook » jouera un rôle crucial en matière d’amélioration de l’efficacité des mesures préventives de la directive LCB/FT dans toutes les entités obligées de l’UE. Définir des règles du jeu équitables est indispensable, car les délinquants financiers sont constamment à la recherche de failles à exploiter pour faire mauvais usage du système financier. Plus que jamais, les entités obligées de l’UE doivent être préparées et équipées pour jouer leur rôle dans la lutte collective contre la délinquance financière.

Les technologies de filtrage, si elles s’appuient sur des données fiables, sont un outil puissant dans la lutte contre la délinquance financière. Nous collaborons avec des clients du secteur financier et d’autres secteurs qui opèrent dans le monde entier en leur fournissant l’expertise, les données et les outils dont ils ont besoin pour respecter pleinement leurs obligations de conformité. Grâce à notre présence mondiale, vous trouverez toujours un interlocuteur pour vous accompagner en cas de besoin. Pour en savoir plus sur nos outils et nos technologies de filtrage, contactez-nous.