LCB-FT : obligations de lutte anti-blanchiment pour les entreprises

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) constitue un axe réglementaire majeur dont la portée dépasse le seul secteur bancaire. Un nombre croissant d’entreprises et de professions sont assujetties à des obligations de vigilance, de déclaration et de conservation qui impliquent des traitements massifs de données personnelles. La maîtrise de ce cadre réglementaire est indispensable tant pour éviter les sanctions que pour assurer la cohérence avec les autres obligations de conformité, notamment le RGPD et le règlement DORA.

Le cadre réglementaire français et européen

Les textes fondateurs

Le dispositif français de LCB-FT repose sur la transposition des directives européennes successives. Le cadre actuel est principalement fondé sur :

• La 4e directive anti-blanchiment (directive (UE) 2015/849), transposée par l’ordonnance n 2016-1635 du 1er décembre 2016.
• La 5e directive anti-blanchiment (directive (UE) 2018/843), transposée par l’ordonnance n 2020-115 du 12 février 2020.
• Le paquet législatif anti-blanchiment de 2024, comprenant le règlement (UE) 2024/1624 (AMLR) directement applicable, la 6e directive anti-blanchiment et le règlement créant l’Autorité anti-blanchiment européenne (AMLA).

En droit français, les dispositions sont codifiees au livré V, titre VI du code monétaire et financier (articles L.561-1 a L.561-50) et dans le code pénal pour les infractions sous-jacentes.

L’Autorité européenne anti-blanchiment (AMLA)

Le règlement (UE) 2024/1620 cree l’AMLA (Anti-Money Laundering Authority), autorité européenne de supervision directe qui sera pleinement opérationnelle à compter de 2025-2026. L’AMLA disposera de pouvoirs de supervision directe sur certaines entités assujetties à haut risque et de pouvoirs de coordination sur l’ensemble des cellules de renseignement financier nationales. Cette création renforcé considérablement la dimension européenne du dispositif LCB-FT.

Les entités assujetties

Le périmètre des obligations

Le champ des entités assujetties est défini par l’article L.561-2 du code monétaire et financier. Il couvre un spectre très large de professions et d’activités :

Le secteur financier : établissements de crédit, sociétés de financement, entreprises d’investissement, sociétés de gestion, compagnies d’assurance, institutions de prévoyance, mutuelles, établissements de monnaie électronique, établissements de paiement, prestataires de services sur actifs numériques.

Les professions juridiques et comptables : avocats, notaires, huissiers de justice, commissaires-priseurs judiciaires, experts-comptables, commissaires aux comptes.

Les professions immobilières : agents immobiliers, administrateurs de biens.

Les autres professions : casinos, sociétés de ventes volontaires, personnes exerçant l’activité de domiciliation d’entreprises, opérateurs de jeux en ligne, marchands de biens précieux au-dessus de certains seuils.

L’évolution constante de ce périmètre exige des organisations une veille réglementaire attentive. Le nouveau paquet législatif européen étend encore le champ des assujettis, notamment aux plateformes de financement participatif et à certains marchands de biens de grande valeur.

Les trois piliers des obligations LCB-FT

Premier pilier : les mesures de vigilance

Les mesures de vigilance constituent le coeur du dispositif. Elles comprennent :

La vigilance à l’égard du client (KYC). L’entité assujettie doit identifier son client, vérifier son identité sur la base de documents fiables, identifier le bénéficiaire effectif et vérifier son identité, évaluer l’objet et la nature de la relation d’affaires, et exercer une vigilance constante pendant toute la durée de la relation.

L’approche par les risques. L’entité doit élaborer une classification des risques intégrant les facteurs de risque liés au client (nature, activité, structuré juridique, pays de residence), au produit ou service (complexité, opacite, montant), au canal de distribution (relation à distance, recours à des intermédiaires) et à la zone géographique (pays tiers à haut risque, paradis fiscaux).

La vigilance renforcée. Des mesures supplémentaires doivent être appliquées dans les situations à risque élevé : personnes politiquement exposées, relations d’affaires avec des pays tiers à haut risque identifiés par la Commission européenne, opérations complexes ou d’un montant inhabituellement élevé, opérations sans objet économique apparent.

Deuxieme pilier : la déclaration de soupcon

L’article L.561-15 du code monétaire et financier impose aux entités assujetties de déclarer a Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins) les sommes ou opérations dont elles savent, soupconnent ou ont de bonnes raisons de soupconner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou qu’elles participent au financement du terrorisme.

La déclaration de soupcon est transmise par voie électronique via la plateforme ERMES de Tracfin. Elle doit contenir les informations d’identification du client, la description de l’opération suspecte, les éléments ayant motivé le soupcon et toute information utile à l’analyse.

Le secret de la déclaration. L’article L.561-19 interdit formellement à l’entité declarante de porter à la connaissance du client ou de tiers l’existence d’une déclaration de soupcon. Cette obligation de secret à des implications directes sur l’exercice des droits RGPD, notamment le droit d’accès et le droit d’information.

Troisieme pilier : les obligations organisationnelles

L’entité assujettie doit mettre en place une organisation interne adaptée à son profil de risque :

• La désignation d’un responsable LCB-FT (correspondant Tracfin) charge de la mise en oeuvre du dispositif et des relations avec Tracfin.
• L’élaboration de procédures internes écrites, couvrant l’ensemble des obligations de vigilance, de déclaration et de conservation.
• La formation du personnel aux obligations LCB-FT, adaptée aux fonctions exercées et actualisée régulièrement.
• La mise en place d’un dispositif de contrôle interne comprenant un contrôle permanent et un contrôle périodique.
• L’élaboration d’un document de classification des risques actualise régulièrement.

La conservation des données LCB-FT

Les obligations légales de conservation

L’article L.561-12 du code monétaire et financier impose des durées de conservation spécifiques :

• Les documents d’identification et les pièces justificatives relatives aux mesures de vigilance doivent être conservés pendant cinq ans à compter de la clôture du compte ou de la cessation de la relation d’affaires.
• Les documents et informations relatifs aux opérations doivent être conservés pendant cinq ans à compter de l’exécution de l’opération.
• Les documents relatifs aux déclarations de soupcon doivent être conservés pendant cinq ans à compter de la déclaration.

L’articulation avec le RGPD

Ces durées de conservation constituent des obligations légales qui priment sur le principe de limitation de la conservation du RGPD. Néanmoins, le RGPD impose que les données ne soient pas conservées au-delà du nécessaire. À l’expiration du délai légal de cinq ans, les données doivent être supprimées ou anonymisées, sauf obligation légale contraire.

La conservation de données LCB-FT doit faire l’objet d’une inscription au registre des traitements (article 30 du RGPD) mentionnant les finalités, les catégories de données, les durées de conservation et les mesures de sécurité mises en oeuvre.

Les sanctions en cas de manquement

Les sanctions administratives

L’ACPR (Autorité de contrôle prudentiel et de resolution) et l’AMF (Autorité des marchés financiers) disposent de pouvoirs de sanction importants en cas de manquement aux obligations LCB-FT :

• Avertissement ou blame.
• Sanctions pécuniaires pouvant atteindre 100 millions d’euros ou 10 % du chiffre d’affaires annuel (le montant le plus élevé étant retenu).
• Interdiction temporaire d’exercer certaines fonctions.
• Retrait d’agrément dans les cas les plus graves.

Les décisions de la Commission des sanctions de l’ACPR sont régulièrement publiées et constituent une source précieuse d’interprétation des obligations. Les sanctions prononcées ces dernières années attestent d’un durcissement significatif de la répression, avec des amendes de plusieurs millions d’euros pour des établissements de toutes tailles.

Les sanctions pénales

Le blanchiment de capitaux est un délit puni par l’article 324-1 du code pénal de cinq ans d’emprisonnement et 375 000 euros d’amende. En bande organisée, les peines sont portées a dix ans d’emprisonnement et 750 000 euros d’amende. La responsabilité pénale des personnes morales peut être engagée.

Le défaut de déclaration de soupcon n’est pas en soi une infraction pénale, mais il peut constituer un élément constitutif de complicité de blanchiment si l’organisme a eu connaissance de l’infraction et n’a pas agi.

L’articulation avec les autres réglementations

LCB-FT et DORA

Pour les entités financières, les systèmes d’information supportant le dispositif LCB-FT constituent des fonctions critiques au sens du règlement DORA. La gestion des risques TIC doit donc intégrer les systèmes de filtrage, de détection et de déclaration, et les exigences de résilience opérationnelle de DORA s’appliquent à ces systèmes.

LCB-FT et protection des données

La tension entre les obligations LCB-FT et le RGPD est permanente. La collecte massive de données personnelles dans le cadre du KYC, la surveillance continue des opérations et la conservation prolongée des informations doivent être mises en balance avec les principes de minimisation, de limitation des finalités et de proportionnalité du RGPD. La CNIL et les autorités de contrôle LCB-FT travaillent à une articulation cohérente de ces exigences.

FAQ

Quelles sont les principales sanctions récentes en matière de LCB-FT en France ?

La Commission des sanctions de l’ACPR a prononcé des sanctions significatives ces dernières années. Plusieurs établissements de crédit ont été condamnés à des amendes de plusieurs dizaines de millions d’euros pour des défaillances dans leurs dispositifs de vigilance, de filtrage et de déclaration. Les manquements les plus fréquemment sanctionnés concernent l’insuffisance des procédures de connaissance client, le défaut de mise à jour des dossiers KYC, les lacunes dans le dispositif de détection des opérations suspectes et les retards dans les déclarations de soupcon.

La déclaration de soupcon peut-elle être communiquée au client dans le cadre du RGPD ?

Non. L’article L.561-19 du code monétaire et financier interdit formellement la divulgation d’une déclaration de soupcon à la personne concernée ou à des tiers. Cette interdiction prime sur le droit d’accès du RGPD. L’article 23 du RGPD autorise les États membres à limiter les droits des personnes lorsque cette limitation est nécessaire pour prévenir, rechercher ou poursuivre des infractions pénales ou pour protéger un objectif d’intérêt public important. Le secret de la déclaration de soupcon entre dans ce cadre.

Les professions non financières (avocats, notaires, agents immobiliers) sont-elles soumises aux mêmes obligations LCB-FT ?

Oui, ces professions sont assujetties aux obligations LCB-FT par l’article L.561-2 du code monétaire et financier, mais avec des amenagements spécifiques. Les avocats, par exemple, bénéficient d’un régime particulier pour les activités couvertes par le secret professionnel : la déclaration de soupcon est transmise au batonnier qui la transmet a Tracfin après vérification de sa recevabilite. Les professions non financières doivent néanmoins mettre en oeuvre l’ensemble des mesures de vigilance et des obligations organisationnelles, adaptées à leur profil de risque et à la nature de leurs activités.