La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) est aujourd’hui un pilier de la réglementation européenne et s’impose comme un enjeu majeur de société et de conformité pour des secteurs clés tels que l’assurance, la banque, la finance et bien d’autres.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Depuis près de 30 ans, la législation en matière de LCB-FT s’est considérablement étoffée, renforçant progressivement les obligations imposées aux entreprises (pour aller plus loin sur l’histoire de la LCB-FT, v. le Livre blanc BeCLM à télécharger ici). Parallèlement, les sanctions prononcées par les autorités se multiplient, illustrant une exigence croissante en matière de conformité et de vigilance.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

C’est dans ce contexte que la revue de l’Autorité de contrôle prudentiel et de résolution (ACPR) de décembre 2024 met en lumière le « paquet LCB-FT », dernier fleuron de l’arsenal européen en matière de LCB-FT.

Adopté en juin 2024, ce corpus législatif s’inscrit dans une tendance lourde de la production normative européenne : une multiplication des textes visant à harmoniser les pratiques des États membres, accompagnée d’un durcissement des exigences de conformité.

Alors que l’objectif affiché est de garantir la résilience du système financier européen face aux risques de blanchiment et de financement du terrorisme, ce « paquet LCB-FT » soulève néanmoins des interrogations : en multipliant les obligations et les mécanismes de contrôle, l’Union européenne ne risque-t-elle pas de nuire à l’efficacité de la réglementation et de porter une atteinte excessive aux libertés ?

La revue de l’ACPR appelle à une réflexion approfondie sur ce nouvel arsenal législatif, qui oscille entre une réponse nécessaire aux enjeux contemporains et un excès réglementaire.

Le « paquet LCB-FT » repose sur trois piliers complémentaires :

• la 6^e directive antiblanchiment (dite « AMLD6 ») entrée en vigueur le 10 juillet 2024 et dont la transposition est obligatoire pour les États membres au plus tard le 10 juillet 2027 (Dir. (UE) 2024/1640 du Parlement européen et du Conseil, 31 mai 2024 : JOUE 19 juin)  ;

• un règlement relatif à la création de nouvelles exigences (dit « AMLR »), entré en vigueur le 9 juillet 2024 et applicable à partir du 10 juillet 2027 - excepté en ce qui concerne les dispositions applicables aux agents de football et clubs de football professionnel, pour lesquels elles s’appliquent à partir du 10 juillet 2029 - (Règl. (UE) 2024/1624 du Parlement européen et du Conseil, 31 mai 2024 : JOUE 19 juin) ;

• un règlement portant création de l’Autorité européenne de LCB-FT (AMLA) entré en vigueur le 26 juin 2024 et applicable à partir du 1^erjuillet 2025 (Règl. (UE) 2024/1620 du Parlement européen et du Conseil, 31 mai 2024 : JOUE 19 juin).

Ce triptyque entend répondre aux lacunes du cadre actuel en misant sur l’harmonisation, la centralisation des données et le renforcement des dispositifs nationaux.

La 6^e directive « AMLD6 »

Premier pilier de ce « paquet LCB-FT » la 6^e directive dite « AMLD6 » ajuste à l’échelle européenne les règles de mise en œuvre par chaque État membre d’un registre central des bénéficiaires effectifs (Dir. (UE) 2024/1640, art. 10).

Pour rappel, la réglementation impose aux entités assujetties d’identifier a minima les bénéficiaires effectifs de leur clientèle personne morale, c’est-à-dire les personnes physiques qui :

• détiennent au moins 25 % des actions, des droits de vote ou d’autres formes de participation au capital, directement ou indirectement d’une société ;

• contrôlent une entité juridique, que ce soit par leur participation au capital ou par d’autres moyens.

À ce titre, les États membres ont mis en place depuis plusieurs années des « registres de bénéficiaires effectifs » dans lesquels chaque entreprise immatriculée doit déclarer son ou ses bénéficiaires effectifs.

Initialement accessible au grand public, l’accès à ce registre est désormais restreint aux entreprises assujetties à la LCB-FT et autres ayant un intérêt légitime en raison d’une décision de la Cour de justice de l’Union européenne de novembre 2022 (CJUE, 22 nov. 2022, aff. C-37/20 et C-601/20).

La nouvelle directive confirme ce point et apporte quelques nouveautés.

Renforcement du rôle des entités chargées de gérer la gestion des registres de bénéficiaires effectifs

Tout d’abord, les entités chargées de gérer les registres centraux – l’Institut national de la propriété industrielle (INPI) en France - seront désormais dans l’obligation de vérifier si les informations transmises au registre :

• sont adéquates, exactes et à jour ;

• et « Ont trait à des personnes ou à des entités désignées dans le cadre de sanctions financières ciblées ». Dans l’affirmative, le registre devra l’indiquer et cette information devra être visible pour toute personne ayant accès au registre des bénéficiaires effectifs.

Ensuite, la directive prévoit la possibilité pour les entités en charge des registres de pouvoir procéder « à des inspections sur place dans les locaux professionnels ou au siège statutaire d’entités juridiques » dans le but de vérifier les informations transmises.

Le législateur européen a donc renforcé le rôle des entités chargées de la gestion des registres de bénéficiaires effectifs dans l’objectif d’accroître la fiabilité et l’exactitude des informations relatives aux bénéficiaires effectifs des entités juridiques, un enjeu central dans la lutte contre le blanchiment d’argent et le financement du terrorisme. En garantissant des données précises et accessibles, l’Union européenne entend améliorer la transparence et l’efficacité des dispositifs de contrôle, répondant ainsi aux exigences croissantes de conformité et de supervision réglementaire.

Cependant, la mise en œuvre pratique de ces obligations soulève des questions légitimes quant à leur faisabilité, notamment pour des organismes comme l’INPI, qui doivent gérer un volume considérable de données.

En France, ce défi prend une ampleur particulière avec les quelques millions d’entreprises enregistrées. La centralisation, la vérification et la mise à jour régulière de ces informations nécessitant des ressources humaines, financières et technologiques significatives. Dès lors, il est pertinent de s’interroger sur la capacité réelle des structures nationales à remplir ces obligations dans les délais impartis et avec la rigueur attendue.

Registres relatifs aux données bancaires

La nouvelle directive traite également d’un autre aspect lié aux registres, à savoir ceux relatifs aux données bancaires.

En effet, l’article 16 de la directive prévoit la mise en place par tous les États membres de « mécanismes automatisés centralisés » permettant l’identification en temps utile de toute personne physique ou morale qui détient ou contrôle un compte bancaire. En France, ce registre existe déjà, il s’agit du FICOBA. Ces registres devront inclure les informations sur les cryptoactifs et les IBAN virtuels.

À l’échelle de l’Union européenne, ces registres seront interconnectés, offrant ainsi aux cellules de renseignement financier (CRF - TRACFIN en France) un accès direct et rapide aux données transfrontalières sur les comptes bancaires. Par ailleurs, le format des relevés bancaires est également harmonisé pour faciliter leur exploitation.

Désignation d’un officier préposé aux droits fondamentaux

Une grande partie de la directive est ensuite dédiée à la simplification des dispositions relatives aux cellules de renseignement financier (CRF), la plupart instaurant des mesures déjà mises en œuvre en France. Il est toutefois intéressant de noter que l’article 20 de l’AMLD6 impose aux CRF de désigner un « officier préposé aux droits fondamentaux » chargé notamment de promouvoir le respect des droits fondamentaux par la CRF.

Un cadre juridique pour l’organisation des collèges de surveillance LCB-FT

Dernière disposition notable, l’article 49 de la directive instaure un cadre juridique pour l’organisation des collèges de surveillance LCB-FT.

Sous l’ancienne directive, une obligation générale de coopération entre superviseurs nationaux existait, avec la mise en place de collèges de surveillance LCB-FT pour les groupes financiers transfrontaliers. Toutefois, ces collèges fonctionnaient sur la base d’orientations non contraignantes, entraînant des disparités entre États membres.

Il est introduit un cadre juridique pour structurer ces collèges : le superviseur de l’entreprise mère est désormais chargé de leur organisation, une liste précise de membres est établie, et des modalités d’échange d’informations sont définies, incluant les pays tiers si nécessaire.

Par ailleurs, les pratiques des superviseurs nationaux sont également harmonisées, en matière de sanctions pécuniaires et de mesures administratives, pour garantir une approche cohérente et équitable à l’échelle de l’Union.

Des dispositions qui interrogent

Ainsi, la 6^e directive en matière de LCB-FT contient de nombreuses dispositions dont l’objectif est la coordination entre les dispositifs nationaux des États membres mais ces dispositions interrogent. En centralisant les données sensibles dont notamment celles relatives aux données bancaires et en renforçant les obligations de transparence ce dispositif entraîne une surveillance généralisée, difficilement compatible avec les principes de protection des données personnelles consacrés par le RGPD et le droit au respect de la vie privée.

Le Contrôleur européen de la protection des données (CEPD) alerte déjà depuis plusieurs années sur les risques de non-conformité de certaines dispositions issues des directives LCB-FT avec la Charte des droits fondamentaux de l’Union européenne. En avril 2023 notamment, le CEPD avait exprimé des préoccupations sur le partage de données à grande échelle entre acteurs privés et autorités publiques (v. site internet de la CNIL, Blanchiment de capitaux et financement du terrorisme : la CNIL et ses homologues s’adressent aux législateurs européens, 24 avr. 2023).

Même si la directive fait mention à de multiples reprises (notes 61 et 131) du respect du droit à la protection des données personnelles et du droit à la vie privée en imposant notamment le respect du principe « de minimisation des données », est-ce suffisant ?

Le règlement AMLR

Second pilier du « paquet AML », le règlement « AMLR », concerne plus directement les entreprises assujetties à la LCB-FT avec l’apparition de nouvelles dispositions contraignantes.

Extension du périmètre d’application de la LCB-FT et des informations à collecter

Tout d’abord, ce nouveau règlement élargit le périmètre d’application de la LCB-FT, incluant désormais les prestataires de services sur cryptoactifs (PSCA), les négociants de produits de luxe ou encore les clubs de football (Règl. (UE) 2024/1624, art. 3).

Ensuite, l’article 22 du même règlement étend le nombre d’informations à collecter s’agissant de l’identification et de la vérification de l’identité du client et du bénéficiaire effectif.

À l’exception des situations présentant un risque moins élevé auxquelles s’appliquent les mesures de vigilance simplifiée et indépendamment de l’application de mesures supplémentaires en cas de risque plus élevé, les nouvelles informations suivantes devront notamment être obligatoirement recueillies :

• pour les personnes physiques, les « nationalités, ou l’apatridie et le statut de réfugié ou le statut conféré par la protection subsidiaire le cas échéant, ainsi que le numéro d’identification national, le cas échéant » ou encore « le lieu de résidence habituelle ou, en l’absence d’adresse fixe correspondant à une résidence légale dans l’Union, l’adresse postale à laquelle la personne physique peut être jointe et, s’il est disponible, le numéro d’identification fiscale » ;

• pour les personnes morales, « le nom des représentants légaux de l’entité juridique », « le nom des personnes détenant des parts ou occupant un poste de direction sous la forme d’un mandataire », le « pays de constitution », le « Numéro d’identification fiscale et identifiant d’entité juridique »…

À noter que le nouveau règlement instaure désormais en son article 26 une périodicité de mise à jour de ces informations d’un an maximum pour les clientèles les plus risquées et cinq ans pour les autres.

L’article 34 du règlement prévoit en outre la mise en œuvre de mesures de vigilances renforcées pour les relations d’affaires impliquant un « traitement d’actifs d’un montant d’au moins 5 000 000 euros » ou impliquant un client « détenant un patrimoine total d’un montant d’au moins 50 000 000 EUR, ou l’équivalent en monnaie nationale ou étrangère, que ce soit en patrimoine financier ou susceptible d’investissement, en bien immobilier, ou en une combinaison des deux, à l’exclusion de la résidence privée de ce client ».

Enfin, l’article 29 prévoit également une application des mesures de vigilance renforcées en ce qui concerne les relations d’affaires ou les transactions à titre occasionnelle « faisant intervenir des personnes physiques ou morales » des pays tiers à haut risque c’est-à-dire les pays tiers dont les dispositifs de LCB-FT présentent des carences stratégiques importantes (voir notamment les listes du GAFI).

Ces nouvelles dispositions renforcent donc considérablement l’obligation de connaissance de la clientèle (KYC). D’une part, les informations à collecter sont désormais plus nombreuses et doivent être mises à jour selon une périodicité stricte et d’autre part, les mesures de vigilance renforcées pourront être mises en œuvre beaucoup plus fréquemment.

Des mesures spécifiques pour les personnes politiquement exposées

Le règlement introduit également de nouvelles mesures spécifiques concernant les personnes politiquement exposées (PPE), soulignant ainsi une attention particulière portée à ce profil dans le cadre des exigences KYC.

Tout d’abord, la liste des fonctions de personnes politiquement exposées est (Règl. (UE) 2024/1624, art. 2 § 1, point 34) :

• élargie aux responsables des collectivités régionales et locales (régions départements, communes et intercommunalités d’au moins 50 000 habitants) ;

• restreinte aux membres des organes d’administration, de direction ou de surveillance des entreprises publiques locales à partir de 8 millions d’euros de chiffre d’affaires.

Ensuite, les mesures applicables aux PPE sont étendues aux :

• frères et sœurs de chefs d’État, chefs de gouvernement, ministres, ministres délégués, et secrétaires d’États ou aux personnes exerçant des fonctions équivalentes au niveau de l’UE ou dans un pays tiers ;

• transaction ou activité menée pour le compte ou au profit d’une PPE, d’un membre de sa famille ou d’une personne connue pour lui être étroitement associées.

Des questions quant à la mise en pratique des mesures applicables aux PPE

Cette nouvelle définition soulève de nombreuses questions pratiques, notamment concernant le recueil, la vérification et l’actualisation des données relatives aux PPE. Contrairement au régime de gel des avoirs, où des listes officielles sont disponibles, aucune liste publique ou exhaustive des PPE n’existe actuellement rendant complexe la tâche d’identification de celles-ci. En particulier s’agissant de l’identification des frères et sœurs des dirigeants politiques : ces informations ne sont souvent pas publiques, rendant leur collecte difficile et potentiellement intrusive.

Les entreprises soumises à la LCB-FT ont donc le choix de construire leurs propres listes ou d’avoir recours à un prestataire externe. Dans les deux cas, ces options sont coûteuses que ce soit en temps ou en argent.

En outre, les listes construites par les prestataires externes peuvent contenir des données incorrectes et inexactes. La règlementation relative à la définition des PPE diverge en fonction des pays et les vendeurs de données ou « data brokers » peuvent parfois inclure dans des listes des personnes qui sont à tort qualifiées de PPE, ce qui peut avoir des conséquences désastreuses pour ces individus (v. article de L’Echo belge, 24 juin 2017 : 16 000 Belges sur la liste noire des banques). Le transfert massif de données à des prestataires étrangers peut également soulever un problème de souveraineté.

De plus, l’ajout de nouvelles catégories, telles que les responsables des collectivités régionales et locales, entraîne une augmentation significative du nombre de PPE, ce qui aura pour effet de multiplier les actions de filtrage à réaliser et donc potentiellement du coût.

Cette extension de la définition des PPE engendre ainsi des conséquences pratiques majeures pour les entités assujetties.

À ce titre, l’article 42 du règlement précise qu’au plus tard le 10 juillet 2027, la nouvelle autorité européenne en matière de LCB-FT émettra des orientations sur « les critères d’identification des personnes connues pour être étroitement associées » ainsi que le « niveau de risque associé à une catégorie particulière de personnes politiquement exposées, au membre de la famille ou à la personne connue pour être étroitement associée, y compris des orientations sur la manière dont ces risques doivent être évalués lorsque la personne a cessé d’exercer une fonction publique importante aux fins de l’article 45 ».

Il conviendra donc de s’intéresser tout particulièrement aux recommandations de la nouvelle autorité et espérer des clarifications s’agissant de la mise en œuvre de ces obligations.

Plus de transparence concernant les bénéficiaires effectifs

Enfin, comme la directive, le règlement AMLR s’intéresse également aux bénéficiaires effectifs en insérant des dispositions relatives à la transparence de ceux-ci (Règl. (UE) 2024/1624, art. 51 et s.).

Pour rappel, comme indiqué en début d’article, les bénéficiaires effectifs sont les personnes physiques qui :

• détiennent au moins 25 % des actions, des droits de vote ou d’autres formes de participation au capital, directement ou indirectement d’une société ;

• contrôlent une entité juridique, que ce soit par leur participation au capital ou par d’autres moyens.

Le règlement insiste sur la nécessité pour les assujettis d’évaluer indépendamment et en parallèle le contrôle exercé par d’autres moyens, sans se limiter à l’existence d’une participation au capital.

Il est également précisé que le seuil de 25 % s’applique à toutes les formes de participations, quel que soit le niveau de propriété, incluant par exemple le droit à une part des bénéfices, des ressources internes ou encore le boni de liquidation. Cependant, les États membres peuvent abaisser ce seuil pour les entités jugées à risque élevé, tout en respectant une limite inférieure de 15 %.

Par ailleurs, le règlement introduit une obligation de signalement spécifique. Les entités assujetties doivent ainsi déclarer toute association avec des entités ou constructions juridiques liées à des personnes ou organisations visées par des sanctions financières ciblées.

Cette obligation vise à renforcer la transparence et la lutte contre les risques de blanchiment de capitaux et de financement du terrorisme.

Une réglementation excessive ?

Le règlement AMLR renforce de manière significative les exigences en matière de connaissance client (KYC), complexifiant la mise en œuvre de ces obligations, en particulier pour les personnes politiquement exposées (PPE).

Or, de nombreux secteurs, tels que l’assurance, dénoncent de plus en plus une réglementation perçue comme excessive et déconnectée des réalités opérationnelles (Argus de l’assurance, 3 mai 2023 : LCB-FT et assurance duo maléfique ou couple maudit ?). Les directives et règlements successifs ne cessent d’alourdir les obligations et de restreindre davantage les marges de manœuvre des acteurs concernés et notamment des PME et TPE qui n’ont pas les mêmes ressources matérielles et humaines que les multinationales pour mettre en œuvre une telle réglementation.

Le rôle des acteurs privés, souvent réduits à celui de sous-traitants de l’autorité publique, mérite d’être interrogé. En exigeant une collecte massive de données et une vigilance renforcée, l’Union transfère sur ces entités une part importante de la charge de la LCB-FT, au risque de compromettre leur liberté entrepreneuriale et de les contraindre à s’en remettre à des marchands de données facturant des prix excessifs. Et ainsi de réduire l’efficacité de la réglementation.

Enfin, la centralisation accrue des données sensibles, combinée à une surveillance renforcée, soulève également un risque de dérive sécuritaire et d’atteintes aux libertés et droits fondamentaux et de souveraineté des États.

C’est dans ce contexte que s’inscrit le règlement (UE) 2024/1620, qui marque une étape clé en instituant une autorité européenne dédiée à la lutte contre le blanchiment de capitaux et le financement du terrorisme (ALCB, ou AMLA en anglais).

Le règlement AMLA

Le dernier règlement (UE) 2024/1620 institue une autorité européenne de lutte contre le blanchiment de capitaux et le financement du terrorisme (ALCB ou AMLA en anglais) qui aura son siège à Francfort en Allemagne.

Remarque : il était question que le siège soit à Paris, mais la candidature française n’a pas été retenue.

La création de l’AMLA, chargée de superviser et sanctionner directement les entités à risque élevé et d’harmoniser les pratiques des autorités nationales, incarne l’ambition européenne d’une surveillance cohérente et efficace. Opérationnelle complètement à partir du 1^er janvier 2028, l’AMLA aspire à devenir un acteur clé de la LCB-FT.

Cette autorité aura notamment pour rôle la supervision directe et indirecte sur secteur financier (évaluation des menaces, collecte de données, élaboration de méthodologie…) et la coordination entre les cellules de renseignement financier des États membres.

L’article 5 dresse une longue liste des missions dont aura la charge l’autorité dont notamment :

• prévenir l’utilisation du système financier de l’Union aux fins du BC/FT ;

• contribuer à identifier et à évaluer les risques et menaces de BC/FT dans l’ensemble du marché intérieur, ainsi que les risques et les menaces émanant de l’extérieur de l’Union ;

• assurer une surveillance de haute qualité dans le domaine de la LBC/FT ;

• contribuer à la convergence de la surveillance en matière de LBC/FT dans l’ensemble du marché intérieur ;

• contribuer à l’harmonisation des pratiques de détection, par les cellules de renseignement financier (« CRF »), des flux financiers suspects ou des activités suspectes ;

• soutenir et coordonner les échanges d’informations entre les CRF et entre celles-ci et les autres autorités compétentes.

La structure de l’AMLA sera composée d’un conseil général (divisé en deux compositions : une composition « surveillance » et une composition « CRF »), d’un conseil exécutif, d’un président et d’une commission administrative de réexamen.

Une des principales missions de l’AMLA résidera dans la surveillance des entités assujetties qui s’effectuera de manière directe et indirecte.

Tout d’abord, l’AMLA surveillera directement un nombre prédéterminé d’entités assujetties du secteur financier sélectionnées (jusqu’à 40 groupes et entités lors de la première procédure de sélection).

Ces entités devront opérer dans le plus grand nombre d’États membres et présenter le ratio le plus élevé de transaction avec des pays tiers (note 26 du règlement).

Ensuite, la supervision indirecte de l’AMLA résidera principalement dans de la collecte de données et l’émission de droit souple (recommandations, avis, études…).

Cette nouvelle autorité ne se substituera pas aux autorités nationales, mais interviendra en complément, dans le respect du principe de subsidiarité. Néanmoins, sa création soulève des interrogations quant au risque de complexification administrative, dans un contexte où les acteurs de la LCB-FT sont déjà nombreux à l’échelle nationale. Cela étant, l’établissement de cette autorité envoie un signal fort : la lutte contre le blanchiment de capitaux et le financement du terrorisme sera une priorité centrale de la politique européenne dans les années à venir.

Une réglementation essentielle mais qui mérite attention

En conclusion, le « paquet LCB-FT » de 2024 représente indéniablement une étape majeure dans la lutte contre le blanchiment de capitaux et le financement du terrorisme au sein de l’Union européenne. Il témoigne de l’intensification normative qui caractérise actuellement le cadre législatif européen, et soulève des interrogations légitimes quant à sa mise en œuvre pratique et à ses implications concrètes.

L’objectif de ces nouvelles dispositions est, sans conteste, fondamental et essentiel pour préserver les intérêts de notre société. Cependant, leurs répercussions sur les acteurs économiques et les citoyens méritent une attention particulière.

Si la lutte contre le blanchiment et le financement du terrorisme doit rester une priorité incontestable, elle ne saurait être poursuivie au détriment d’une atteinte excessive aux droits et libertés fondamentaux.