LCB-FT : obligations de lutte anti-blanchiment pour les entreprises

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) constitue un axe reglementaire majeur dont la portee depasse le seul secteur bancaire. Un nombre croissant d’entreprises et de professions sont assujetties a des obligations de vigilance, de declaration et de conservation qui impliquent des traitements massifs de donnees personnelles. La maitrise de ce cadre reglementaire est indispensable tant pour eviter les sanctions que pour assurer la coherence avec les autres obligations de conformite, notamment le RGPD et le reglement DORA.

Le cadre reglementaire francais et europeen

Les textes fondateurs

Le dispositif francais de LCB-FT repose sur la transposition des directives europeennes successives. Le cadre actuel est principalement fonde sur :

• La 4e directive anti-blanchiment (directive (UE) 2015/849), transposee par l’ordonnance n 2016-1635 du 1er decembre 2016.
• La 5e directive anti-blanchiment (directive (UE) 2018/843), transposee par l’ordonnance n 2020-115 du 12 fevrier 2020.
• Le paquet legislatif anti-blanchiment de 2024, comprenant le reglement (UE) 2024/1624 (AMLR) directement applicable, la 6e directive anti-blanchiment et le reglement creant l’Autorite anti-blanchiment europeenne (AMLA).

En droit francais, les dispositions sont codifiees au livre V, titre VI du code monetaire et financier (articles L.561-1 a L.561-50) et dans le code penal pour les infractions sous-jacentes.

L’Autorite europeenne anti-blanchiment (AMLA)

Le reglement (UE) 2024/1620 cree l’AMLA (Anti-Money Laundering Authority), autorite europeenne de supervision directe qui sera pleinement operationnelle a compter de 2025-2026. L’AMLA disposera de pouvoirs de supervision directe sur certaines entites assujetties a haut risque et de pouvoirs de coordination sur l’ensemble des cellules de renseignement financier nationales. Cette creation renforce considerablement la dimension europeenne du dispositif LCB-FT.

Les entites assujetties

Le perimetre des obligations

Le champ des entites assujetties est defini par l’article L.561-2 du code monetaire et financier. Il couvre un spectre tres large de professions et d’activites :

Le secteur financier : etablissements de credit, societes de financement, entreprises d’investissement, societes de gestion, compagnies d’assurance, institutions de prevoyance, mutuelles, etablissements de monnaie electronique, etablissements de paiement, prestataires de services sur actifs numeriques.

Les professions juridiques et comptables : avocats, notaires, huissiers de justice, commissaires-priseurs judiciaires, experts-comptables, commissaires aux comptes.

Les professions immobilieres : agents immobiliers, administrateurs de biens.

Les autres professions : casinos, societes de ventes volontaires, personnes exercant l’activite de domiciliation d’entreprises, operateurs de jeux en ligne, marchands de biens precieux au-dessus de certains seuils.

L’evolution constante de ce perimetre exige des organisations une veille reglementaire attentive. Le nouveau paquet legislatif europeen etend encore le champ des assujettis, notamment aux plateformes de financement participatif et a certains marchands de biens de grande valeur.

Les trois piliers des obligations LCB-FT

Premier pilier : les mesures de vigilance

Les mesures de vigilance constituent le coeur du dispositif. Elles comprennent :

La vigilance a l’egard du client (KYC). L’entite assujettie doit identifier son client, verifier son identite sur la base de documents fiables, identifier le beneficiaire effectif et verifier son identite, evaluer l’objet et la nature de la relation d’affaires, et exercer une vigilance constante pendant toute la duree de la relation.

L’approche par les risques. L’entite doit elaborer une classification des risques integrant les facteurs de risque lies au client (nature, activite, structure juridique, pays de residence), au produit ou service (complexite, opacite, montant), au canal de distribution (relation a distance, recours a des intermediaires) et a la zone geographique (pays tiers a haut risque, paradis fiscaux).

La vigilance renforcee. Des mesures supplementaires doivent etre appliquees dans les situations a risque eleve : personnes politiquement exposees, relations d’affaires avec des pays tiers a haut risque identifies par la Commission europeenne, operations complexes ou d’un montant inhabituellement eleve, operations sans objet economique apparent.

Deuxieme pilier : la declaration de soupcon

L’article L.561-15 du code monetaire et financier impose aux entites assujetties de declarer a Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins) les sommes ou operations dont elles savent, soupconnent ou ont de bonnes raisons de soupconner qu’elles proviennent d’une infraction passible d’une peine privative de liberte superieure a un an ou qu’elles participent au financement du terrorisme.

La declaration de soupcon est transmise par voie electronique via la plateforme ERMES de Tracfin. Elle doit contenir les informations d’identification du client, la description de l’operation suspecte, les elements ayant motive le soupcon et toute information utile a l’analyse.

Le secret de la declaration. L’article L.561-19 interdit formellement a l’entite declarante de porter a la connaissance du client ou de tiers l’existence d’une declaration de soupcon. Cette obligation de secret a des implications directes sur l’exercice des droits RGPD, notamment le droit d’acces et le droit d’information.

Troisieme pilier : les obligations organisationnelles

L’entite assujettie doit mettre en place une organisation interne adaptee a son profil de risque :

• La designation d’un responsable LCB-FT (correspondant Tracfin) charge de la mise en oeuvre du dispositif et des relations avec Tracfin.
• L’elaboration de procedures internes ecrites, couvrant l’ensemble des obligations de vigilance, de declaration et de conservation.
• La formation du personnel aux obligations LCB-FT, adaptee aux fonctions exercees et actualisee regulierement.
• La mise en place d’un dispositif de controle interne comprenant un controle permanent et un controle periodique.
• L’elaboration d’un document de classification des risques actualise regulierement.

La conservation des donnees LCB-FT

Les obligations legales de conservation

L’article L.561-12 du code monetaire et financier impose des durees de conservation specifiques :

• Les documents d’identification et les pieces justificatives relatives aux mesures de vigilance doivent etre conserves pendant cinq ans a compter de la cloture du compte ou de la cessation de la relation d’affaires.
• Les documents et informations relatifs aux operations doivent etre conserves pendant cinq ans a compter de l’execution de l’operation.
• Les documents relatifs aux declarations de soupcon doivent etre conserves pendant cinq ans a compter de la declaration.

L’articulation avec le RGPD

Ces durees de conservation constituent des obligations legales qui priment sur le principe de limitation de la conservation du RGPD. Neanmoins, le RGPD impose que les donnees ne soient pas conservees au-dela du necessaire. A l’expiration du delai legal de cinq ans, les donnees doivent etre supprimees ou anonymisees, sauf obligation legale contraire.

La conservation de donnees LCB-FT doit faire l’objet d’une inscription au registre des traitements (article 30 du RGPD) mentionnant les finalites, les categories de donnees, les durees de conservation et les mesures de securite mises en oeuvre.

Les sanctions en cas de manquement

Les sanctions administratives

L’ACPR (Autorite de controle prudentiel et de resolution) et l’AMF (Autorite des marches financiers) disposent de pouvoirs de sanction importants en cas de manquement aux obligations LCB-FT :

• Avertissement ou blame.
• Sanctions pecuniaires pouvant atteindre 100 millions d’euros ou 10 % du chiffre d’affaires annuel (le montant le plus eleve etant retenu).
• Interdiction temporaire d’exercer certaines fonctions.
• Retrait d’agrement dans les cas les plus graves.

Les decisions de la Commission des sanctions de l’ACPR sont regulierement publiees et constituent une source precieuse d’interpretation des obligations. Les sanctions prononcees ces dernieres annees attestent d’un durcissement significatif de la repression, avec des amendes de plusieurs millions d’euros pour des etablissements de toutes tailles.

Les sanctions penales

Le blanchiment de capitaux est un delit puni par l’article 324-1 du code penal de cinq ans d’emprisonnement et 375 000 euros d’amende. En bande organisee, les peines sont portees a dix ans d’emprisonnement et 750 000 euros d’amende. La responsabilite penale des personnes morales peut etre engagee.

Le defaut de declaration de soupcon n’est pas en soi une infraction penale, mais il peut constituer un element constitutif de complicite de blanchiment si l’organisme a eu connaissance de l’infraction et n’a pas agi.

L’articulation avec les autres reglementations

LCB-FT et DORA

Pour les entites financieres, les systemes d’information supportant le dispositif LCB-FT constituent des fonctions critiques au sens du reglement DORA. La gestion des risques TIC doit donc integrer les systemes de filtrage, de detection et de declaration, et les exigences de resilience operationnelle de DORA s’appliquent a ces systemes.

LCB-FT et protection des donnees

La tension entre les obligations LCB-FT et le RGPD est permanente. La collecte massive de donnees personnelles dans le cadre du KYC, la surveillance continue des operations et la conservation prolongee des informations doivent etre mises en balance avec les principes de minimisation, de limitation des finalites et de proportionnalite du RGPD. La CNIL et les autorites de controle LCB-FT travaillent a une articulation coherente de ces exigences.

FAQ

Quelles sont les principales sanctions recentes en matiere de LCB-FT en France ?

La Commission des sanctions de l’ACPR a prononce des sanctions significatives ces dernieres annees. Plusieurs etablissements de credit ont ete condamnes a des amendes de plusieurs dizaines de millions d’euros pour des defaillances dans leurs dispositifs de vigilance, de filtrage et de declaration. Les manquements les plus frequemment sanctionnes concernent l’insuffisance des procedures de connaissance client, le defaut de mise a jour des dossiers KYC, les lacunes dans le dispositif de detection des operations suspectes et les retards dans les declarations de soupcon.

La declaration de soupcon peut-elle etre communiquee au client dans le cadre du RGPD ?

Non. L’article L.561-19 du code monetaire et financier interdit formellement la divulgation d’une declaration de soupcon a la personne concernee ou a des tiers. Cette interdiction prime sur le droit d’acces du RGPD. L’article 23 du RGPD autorise les Etats membres a limiter les droits des personnes lorsque cette limitation est necessaire pour prevenir, rechercher ou poursuivre des infractions penales ou pour proteger un objectif d’interet public important. Le secret de la declaration de soupcon entre dans ce cadre.

Les professions non financieres (avocats, notaires, agents immobiliers) sont-elles soumises aux memes obligations LCB-FT ?

Oui, ces professions sont assujetties aux obligations LCB-FT par l’article L.561-2 du code monetaire et financier, mais avec des amenagements specifiques. Les avocats, par exemple, beneficient d’un regime particulier pour les activites couvertes par le secret professionnel : la declaration de soupcon est transmise au batonnier qui la transmet a Tracfin apres verification de sa recevabilite. Les professions non financieres doivent neanmoins mettre en oeuvre l’ensemble des mesures de vigilance et des obligations organisationnelles, adaptees a leur profil de risque et a la nature de leurs activites.