Participez au Fintech 3.0 : plongez dans l’univers du Web 3 et transformez votre vision de la finance !
Recherche
Guide méthodologique LCB-FT à l’attention des Prestataires de Services sur Actifs numériques (PSAN)
Introduction
Le présent guide méthodologique s’adresse aux prestataires de services sur actifs numériques (PSAN). Il reprend et synthétise les obligations auxquelles sont assujettis ces acteurs en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), ainsi que des bonnes pratiques pour l’implémentation de ces obligations.
Depuis la loi PACTE du 22 mai 2019,les PSAN sont enregistrés par l'AMF sur avis conforme de l’Autorité de contrôle prudentiel et de résolution (ACPR). L’AMF s’assure que chaque PSAN se conforme à la réglementation relative à la LCB-FT et vérifie l’honorabilité et la compétence des dirigeants et bénéficiaires effectifs des PSAN. Lors de la phase d’enregistrement, l’AMF sollicite l’avis conforme de l’ACPR. L'ACPR assure la supervision des PSAN enregistrés et vérifie elle aussi le respect des obligations en matière de LCB-FT par les PSAN. Ainsi, si un PSAN a enfreint une obligation au respect de laquelle l'ACPR a pour mission de surveiller, la Commission des sanctions de l’ACPR sera compétente pour prononcer la radiation du PSAN de la liste blanche mentionnée à l’article L. 54-10-3 du Code monétaire et financier (i.e la liste blanche des PSAN enregistrés en France, disponible sur le site de l’AMF).
En réponse aux évolutions récentes du marché, le régime français a subi des modifications importantes avec l'introduction, par la loi DDADUE du 09 mars 2023, d'un nouveau régime d'enregistrement “renforcé”. Ce régime, qui est applicable depuis le 1er janvier 2024 pour les nouveaux acteurs souhaitant fournir les quatre services soumis à l'obligation d'enregistrement, impose des procédures et exigences supplémentaires en matière de LCB-FT, de sorte à renforcer la surveillance de ce secteur par les autorités. |
Mise en garde
Ce guide méthodologique tend à clarifier la marche à suivre par les PSAN pour se conformer à leurs obligations en matière de LCB-FT. Il ne peut être assimilé à un conseil juridique ou financier.
Les éléments fournis dans le présent document ne sont pas exhaustifs. En effet, si ce guide reprend la plupart des obligations qui incombent aux PSAN en matière de LCB-FT, il ne vise pas à appréhender toutes les mesures à prendre en compte par ces derniers pour s’y conformer (et ce, en raison des spécificités afférentes à l’activité de chaque prestataire). Ainsi, le dispositif LCB-FT des PSAN doit appliquer l’ensemble de la réglementation en vigueur et ne pas se contenter de respecter les éléments détaillés dans ce guide.
Par ailleurs, il convient de rappeler que, si lors, les PSAN devront fournir des procédures opérationnelles aux autorités expliquant les modalités de mise en œuvre du dispositif LCB-FT, dans le cadre d’un contrôle, le PSAN devra être en mesure de démontrer, non seulement que les procédures sont conformes aux obligations réglementaires applicables, mais qu’elles sont effectivement mises en pratique et que leur bonne application fait l’objet d’un suivi permanent et des contrôles périodiques.
Enfin, la compréhension de l’ensemble des exigences réglementaires et législatives par le dirigeant ou le personnel concerné (i.e le chargé de conformité ou le conseil) sont prises en considération par les régulateurs pour constater la compétence du PSAN en matière de LCB-FT. Les PSAN sont invités à consulter les ressources recensées à la fin du guide dans le cadre de la constitution de leur dispositif LCB-FT.
I - L’organisation du dispositif LCB-FT du PSAN/CASP
Un PSAN / CASP doit disposer d’un dispositif LCB-FT dûment documenté par écrit par le biais de politiques et procédures opérationnelles qui intègrent notamment les éléments suivants:
➔ La description de l’organisation du dispositif LCB-FT, des rôles et des responsabilités, dont :
- l’identité du responsable du dispositif LCB-FT ;
- l’identité des déclarants et correspondants Tracfin ;
- l’identité du responsable du contrôle permanent (2nd niveau de contrôle) ;
- l’identité du responsable du contrôle périodique (ou Audit Interne - 3ème niveau de contrôle) ;
- la gouvernance du dispositif (e.g. comités, indicateurs d’activité, rapports périodiques)
➔ La description des diligences clients, en particulier :
- les modalités de distinction entre la clientèle habituelle (relation d’affaires) et la clientèle occasionnelle ;
- les modalités d’évaluation des risques présentés par les clients afin de déterminer les mesures de vigilance appropriées
- les méthodes d’identification et de vérification de l’identité des clients et des bénéficiaires effectifs (le cas échéant) ;
- les mesures d'identification des opérations réalisées avec les clients dits “occasionnels” ;
- les éléments d’information recueillis au titre de la connaissance de la clientèle (à l’entrée en relation et durant la vie de la relation d’affaires ou ) permettant à l’établissement de satisfaire à ses obligations réglementaires selon une approche par les risques ;
- les mesures de vigilance, et notamment de vigilence renforcée pour les clients à risque élevé, mises en oeuvre ou prévues dans le cas d’une relation d’affaires, d’un produit ou d’une opération portant un risque accru de blanchiment de capitaux et de financement du terrorisme, aussi bien lors de l’entrée en relation comme pendant la durée de la relation d’affaires.
➔ La description du dispositif relatif aux opérations suspectes, en particulier :
- les procédures (comme l'utilisation d'outils d'analyse transactionnelle) permettant d’une part de détecter les opérations atypiques ou suspectes et d’autre part de traiter les alertes par une analyse documentée, menant à un classement sans suite, à un examen renforcé ou à une déclaration de soupçon auprès de TRACFIN.
- Les modalités opérationnelles de déclaration de soupçon à TRACFIN
➔ La description du dispositif de gel des avoirs,, en particulier :
- les procédures de filtrage des clients (et personnes y associées dans le cas des personnes morales) contre des listes de sanctions, y compris les paramètres utilisés par le filtrage (e.g. fréquence, listes utilisées, fuzzy matching)
- les procédures d’investigation des alertes résultant de ce filtrage, ainsi que les mécanismes d’escalade en interne, gel des actifs et reporting vers les autorités en cas de match.
À noter que le PSAN devra être en mesure de documenter la façon comme le dispositif a été mis en place dans la pratique, ce qui implique conserver des documents comme les minutes des comités traitant des sujets LCB/FT, les indicateurs d’activité ou autres données utilisées par les dirigeants et/ou responsables du dispositif pour suivre son fonctionnement, les résultats des contrôles effectués sur le fonctionnement de différents aspects du dispositif, les rapports rédigés par le responsable LCB/FT ou des auditeurs internes / externes, etc. |
II - Mise en place et fonctionnement des dispositifs opérationnels de LBC-FT
La classification des risques
La classification des risques permet au PSAN de mettre en place une organisation, des politiques, procédures et contrôles adaptés aux risques auxquels son activité l’expose.
Conformément à la mise en garde générale introduisant ce guide méthodologique, l’Adan rappelle que la classification des risques est spécifique à chaque établissement en fonction des spécificités de leur modèle d’affaires, des canaux de distribution, des services fournis, de la nature de la clientèle, etc.
La classification des risques relève des dispositifs réglementaires qu’il convient, pour tout prestataire, d’ajuster et de mettre à jour à fréquence régulière afin qu’il tienne compte de l’évolution de l’activité du prestataire et de son exposition au risque de blanchiment et de financement du terrorisme, notamment en cas de lancement de nouveaux produits ou services, ou autres évolutions pouvant impacter le profil de risque de l’activité du PSAN, selon les critères et la gouvernance décrits dans le dispositif. .
La Classification des risques doit impérativement prendre en compte les critères d’évaluation du risque suivants :
-
- la nature des produits et services offerts, tels que :
- la conservation et l’administration de crypto-actifs pour le compte de clients ; l’exploitation d’une plate-forme de négociation de crypto-actifs ; l’échange de crypto-actifs contre des fonds ; l’échange de crypto-actifs contre d’autres crypto-actifs ; l’exécution d’ordres sur crypto-actifs pour le compte de clients ; le placement de crypto-actifs ; la réception et la transmission d’ordres sur crypto-actifs pour le compte de clients ; la fourniture de conseils en crypto-actifs ; la fourniture de services de gestion de portefeuille de crypto-actifs ; la fourniture de services de transfert de crypto-actifs pour le compte de clients.
- les conditions de transaction : utilisation d’espèces ou de monnaies électroniques, de crypto-actifs anonymes (AEC), de mixers, ou de moyens de paiement présentant des risques de blanchiment (par exemple, les cartes prépayées) peuvent justifier un risque LCB-FT important.
- les canaux de distribution utilisés : entrée en relation à distance, utilisation de distributeurs automatiques (ATM), etc.
-
- les caractéristiques de la clientèle visée :
- le type de clientèle : personne physique ou morale (e.g. une personne morale étant plus exposée au risque cyber, si le PSAN constate que celle-ci souhaite effectuer une transaction en crypto-actifs d’un montant important, il devra vérifier qu’il ne s’agisse pas d’une rançon suite à un ransomware) ;
- qualification de Personne Politiquement Exposée du client personne physique ou du bénéficiaire effectif d’un client personne morale ;
-
- le secteur d’activité ;
- l’utilisation d’un VPN ou d’adresses IP différentes pour accéder aux services devrait, dans certaines situations, alerter les services conformité du PSAN.
- le pays ou le territoire d’origine et de destination des fonds ou des crypto-actifs.
- Pour évaluer le risque associé à ce critère, l’établissement s’appuie notamment sur les listes des juridictions à haut risque ou sous surveillance établies par le GAFI, les listes des pays tiers à haut risque établies par la Commission européenne ainsi que les listes publiées par l'OCDE et par l'Union européenne relatives aux juridictions non coopératives en matière fiscale.
Les PSAN établissent également un profil de leurs clients afin de déterminer les risques BC-FT soulevés par la relation d’affaires et d’adapter les mesures de vigilance vis-à-vis de chaque client. Ce profilage s’effectue en fonction de sa classification des risques, de la connaissance de la relation d’affaires, de la nature des opérations envisagées et des risques associés.
Ainsi, les facteurs de risque ci-dessus sont aussi utilisés pour établir des catégories ou profils de risque des clients, que le PSAN peut classer en fonction des risques LCB/FT qu’ils représentent. Cette classification permettra au professionnel de moduler les mesures de vigilance en fonction des caractéristiques des clients et des opérations..
Le prestataire doit prêter une attention toute particulière à sa méthodologie de classification des risques, afin que le dispositif de notation du risque client (scoring) mis en place soit suffisamment discriminant et réellement cohérent avec les risques auxquels l’établissement est exposé. Cette méthodologie doit être clairement décrite et faire l’objet de revues périodiques afin de s’assurer qu’elle reflète à tout moment l’appétit du risque du PSAN, ainsi que des critères qui ont vocation à changer périodiquement, comme les listes de pays à haut risque.
Les diligences clients
Les diligences clients mises en œuvre par le prestataire, à savoir la collecte d’information de connaissance client (dites KYC - Know Your Customer) et leur vérification participent directement à l’efficacité et à la pertinence du dispositif de classification des risques.
A noter que, le cas échéant, le superviseur est susceptible de retenir comme grief, que “le manque de fiabilité des données relatives à la connaissance des clients (revenus, patrimoine, objet de la relation d’affaires, etc.) est particulièrement susceptible d’affecter le profil de risque des clients”.
Notons également que ces diligences peuvent être réalisées par des tiers dans un contexte d’externalisation ou de tierce introduction, auquel cas la réglementation définit les conditions nécessaires, et les contrôles que le PSAN doit mettre en place du fait de ses responsabilités réglementaires.
Article L. 561-5 du Code monétaire et financier
“I. – Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la préparation ou la réalisation d'une transaction, les personnes mentionnées à l'article L. 561-2 : 1° Identifient leur client et, le cas échéant, le bénéficiaire effectif au sens de l'article L. 561-2-2 ; 2° Vérifient ces éléments d'identification sur présentation de tout document écrit à caractère probant [...]” |
L’identification du client par le PSAN
➔ Champ d’application
Le Code monétaire et financier impose aux PSAN enregistrés auprès de l’AMF d’identifier leurs clients préalablement à la réalisation de toute opération, à partir d’un (1) euro.
L’identification et la vérification de l'identité (cf. ii.) du prospect sont, réalisées préalablement à l’entrée en relation d’affaires. Bien que le Code Monétaire et Financier prévoit la possibilité d’une vérification d’identité différée pendant l’établissement de la relation d’affaires celle-ci doit être complétée avant toute transaction (crypto-fiat et crypto-crypto).
➔ Le contenu de l’obligation d’identification
L'identification repose sur le recueil des éléments d’identité précisés à l’article R. 561-5 du Code monétaire et financier. Le tableau ci-dessous récapitule l’ensemble des informations à recueillir par le PSAN selon le type de client.
Type de client | Informations à recueillir pour l’identification du client |
Personne physique | Nom, prénoms, date et lieu de naissance |
Personne morale | Forme juridique, dénomination sociale, immatriculation, siège social, identité des bénéficiaires effectifs.
De plus, il est nécessaire de procéder à la vérification de l’identité des bénéficiaires effectifs et de la personne agissant pour le compte du client personne morale |
Fiduciaire | Nom, prénoms, des date et lieu de naissance des constituants, des fiduciaires, des bénéficiaires et, le cas échéant, du tiers |
Placement collectif | Forme juridique, dénomination sociale, numéro d'agrément, numéro international d'identification des valeurs mobilières
Dénomination, siège social et numéro d'agrément de la société de gestion qui le gère. |
La vérification de l’identité du client
➔ Champ d’application
Conformément au 2° du I de l’article L. 561-5, sur la « présentation de tout document écrit à caractère probant » avant l’établissement de la relation d’affaires et dans tous les cas avant toute transaction.
➔ Le contenu de l’obligation d’identification
La vérification de l’identité du client peut se faire sur la base d’un support matériel ou d’un support numérique.
Différentes mesures de vérification de l’identité du client sont autorisées :
- client personne physique
- vérification via un moyen d’identification électronique certifié eIDAS ;
- vérification sur présentation présentation de l’original d’un document officiel d’identité, en cours de validité et comportant photographie (vérification en présentiel, peu utilisée par les PSAN).
Important : dans le cas où la vérification de l'identité ne peut pas être réalisée au moyen d’une identification électronique certifiée, ou apportant un niveau de garantie substantiel ou élevé, ou présumé fiable, le PSAN doit mettre en oeuvre 2 mesures de vérifiaction parmi les suivantes :
- obtenir une copie d'un document mentionné ;
- vérifier et certifier la copie d'un document officiel ou d'un extrait de registre officiel ;
- exiger que le premier paiement des opérations soit effectué en provenance ou à destination d'un compte ouvert au nom du client auprès d'un établissement agréé au sein de l’Union Européenne ;
- obtenir directement une confirmation de l'identité du client de la part d'un tiers (établissements financiers agréés essentiellement) ;
- recourir à un service certifié conforme par l'ANSSI au niveau de garantie substantiel* des exigences relatives à la preuve et à la vérification d'identité ;
- recueillir une signature électronique avancée ou qualifiée ou un cachet électronique avancé ou qualifié valide reposant sur un certificat qualifié.
L’article R561-5-2 du CMF dispose que “Parmi les mesures mentionnées ci-dessus, les personnes mentionnées à l'article L. 561-2 choisissent celles qui, combinées entre elles, permettent la vérification de tous les éléments d'identification du client mentionnés à l'article R. 561-5.”
* Le décret du 2 avril 2021 allège les modalités d’identification des clients des PSAN à l’entrée en relation : les PSAN peuvent désormais recourir à un moyen d’identification d’un niveau de garantie substantiel (et plus nécessairement élevé), celui-ci pouvant être certifié/attesté par l’ANSSI (sans nécessairement le notifier à la Commission européenne).
Le niveau substantiel renvoie à un moyen d’identification électronique qui présente certaines garanties permettant de prévenir les risques de fraude ou d’usurpation d’identité. Le client doit alors disposer d’un document d’identité émis par un État membre et en avoir démontré sa possession.
- client personne morale
- vérification sur la base de l’original ou de la copie de tout acte ou extrait de registre officiel datant de moins de trois mois ou extrait de Journal officiel permettant de vérifier les informations déclarées ;
- vérification sur la base d’une copie certifiée du document directement via les greffes des tribunaux de commerce, DataInpi ou un document équivalent en droit étranger.
Que ce soit pour un client personne physique ou un client personne morale, le PSAN a également l’obligation d’identifier et de vérifier l’identité et les pouvoirs de toute personne agissant pour le compte du client.
La vérification de l’identité des bénéficiaires effectifs
S’agissant de la clientèle personne morale, le PSAN est tenu d’identifier chaque bénéficiaire effectif.
Un bénéficiaire effectif est :
- nécessairement une personne physique ;
- qui détient, directement ou indirectement, plus de 25% du capital ou des droits de vote du client personne morale, OU
- qui exerce le contrôle, directement ou indirectement, du client, lorsque ce dernier est une personne morale (société, organisme de placement collectif ayant la personnalité morale, association, fondation reconnue d’utilité publique, etc.) ou une construction juridique de type fiducie ou trust ;
- ou bien pour laquelle une opération est exécutée ou une activité réalisée
Les mesures de vigilance renforcée
L’identification des risques liés au client nécessite de profiler ces derniers selon les risques liés aux facteurs de risque listés dans la section IIA. Dans certaines situations, et notamment quand cette évaluation de risque identifie un client comme présentant un risque élevé, le PSAN devra mettre en place des mesures de vigilance renforcées vis-à-vis de son client.
Les mesures de vigilance renforcées à l’égard de la clientèle se distinguent de l’examen renforcé. L’examen renforcé consiste pour le PSAN à se renseigner auprès de son client sur l’origine des fonds, la destination des sommes ainsi que l’identité du bénéficiaire des fonds en cas d’opération particulièrement complexe ou d'un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d'objet licite. A contrario, l’obligation de vigilance renforcée ne dépend pas uniquement du risque porté par une seule opération mais du profil de risque associé au client. Par conséquent, ces mesures doivent être proportionnelles au niveau de risque identifié, lesquelles peuvent mener à une vérification plus approfondie de l'origine des fonds et des transactions, ainsi qu'à une surveillance accrue de la relation d'affaires. Ces mesures peuvent être appliquées aussi bien au moment de l’entrée en relation que pendant la durée de la relation d’affaires dans le cadre de l’obligation de vigilance constante (voir section ci-dessous).
- La détection et les mesures de vigilance à l’égard des personnes politiquement exposées (PPE)
Les types de PPE | Les personnes visées dans le Code monétaire et financier |
Les personnes exerçant les fonctions politiques, juridictionnelles et administratives prévues dans le Code monétaire et financier |
|
Les proches des personnes exerçant les fonctions précisées ci-dessus |
|
Les personnes étroitement associés à une PPE |
|
Les PSAN sont tenus de mettre en œuvre des mesures de vigilance complémentaires à compter de la date d’entrée en fonction en tant que PPE et dans le délai d’un an après la cessation de celles-ci.
Les mesures mises en œuvre reposent sur des éléments objectifs selon le profil de risque de chacune des relations d’affaires avec des PPE. En effet, celles-ci peuvent présenter des profils de risque différents, plus ou moins élevés, tenant notamment compte des autres éléments de connaissance de la relation d’affaires, des produits ou services utilisés ainsi que des opérations envisagées ou réalisées.
Autres éléments de connaissance du client
Dans le cadre d’une approche par les risques, les PSAN recueillent des éléments additionnels sur leurs clients afin de déterminer leur profil de risque, ce qui informera la vigilance constante à effectuer par la suite. A minima, ces éléments incluent des informations sur la situation financière du client et leur profession/ secteur d’activité.
De plus, et suivant une approche par les risques, ils peuvent inclure notamment les points suivants :
- Justificatif de domicile ;
- Origine des fonds ;
- Destination des fonds ;
- Nature des liens existants, le cas échéant, avec des tiers (e.g. mandataires, tiers payeurs).
Pour les personnes morales, les éléments de situation financière à recueillir pour déterminer le profil de risque du client incluent notamment les comptes annuels ou autres informations pertinentes sur l’activité du client.
Type de client | Les informations à recueillir |
Personne physique | La profession ou les fonctions exercées, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou la situation patrimoniale ou financière, la qualité de résident ou de non résident fiscal, l’origine et/ou la destination des fonds. |
Personne morale | L’objet social, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou situation patrimoine ou financière, l’origine et/ou la destination des fonds, le siège social, les statuts, l’identité des dirigeants, les comptes annuels et les délégations de pouvoirs |
Le maintien à jour de la connaissance client durant la relation d’affaires
Il est important de souligner que le prestataire a une obligation d’actualisation et de maintien à jour des éléments de connaissance de ses clients, et ce durant la totalité de la durée de la relation d’affaires. Cela signifie que le prestataire doit être en mesure d’identifier tout changement relatif aux informations et à la situation de ses clients afin d’actualiser leur profil de risque (scoring établi dans le cadre de la classification des risques notamment) et d’ajuster le niveau de vigilance applicable.
Le profil de risque établi par le PSAN est amené à évoluer tout au long de la relation d’affaires au regard des éléments d’informations qui sont portés à la connaissance du PSAN. Selon les informations portées au PSAN par son client, le PSAN exigera de son client de justifier les informations mises à sa disposition afin de limiter le risque BC-FT et doit en vérifier la cohérence suivant ses propres schémas de risques.
La conservation des documents d’identification de la clientèle devra être conforme aux exigences du Code monétaire et financier. Dès lors, les PSAN devront conserver tous les documents collectés concernant leur client (et leurs bénéficiaires effectifs) pendant 5 ans à compter de la date de l’opération (pour le client occasionnel) ou de la fin de la relation d’affaires (pour le client habituel en relation d’affaires).
La vigilance constante
La vigilance constante consiste en la mise en œuvre de l’ensemble des dispositifs susmentionnés, permettant, via la combinaison de la connaissance client et de la classification des risques, de définir le profil de risque de la relation d’affaires et d’y appliquer des mesures de vigilance et de surveillance appropriées.
La surveillance des opérations
Le Code monétaire et financier impose aux PSAN d’effectuer un examen renforcé de toute opération particulièrement complexe ou d'un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d'objet licite.
Le PSAN est tenu de se renseigner auprès de son client sur l'origine des fonds et la destination de ces sommes ainsi que sur l'objet de l'opération et l'identité de la personne qui en bénéficie. |
S’agissant de la surveillance des opérations du client par le PSAN, la distinction entre relation d’affaires et clientèle occasionnelle est nécessaire, compte tenu du niveau de risque sous-jacent associé à chaque typologie de relations.
La surveillance des opérations couvre aussi bien les flux en fiat et en actif numérique (s’appuyant dans ce dernier cas sur des outils d’analyse transactionnelle de blockchain (OAT “On-chain”) et s’appuie sur des scenarii, qui tiennent compte :
- de la connaissance de la clientèle ;
- du scoring client résultant de la classification des risques et des limites associées le cas échéant ;
- de la nature des opérations (achat, vente, swap) et des caractéristiques des opérations (montant, crypto-actif, etc.) ;
- des habitudes de fonctionnement du compte client ;
- du filtrage des opérations à l’appui d’un outil d’OAT ;
- des patterns de blanchiment de capitaux, de financement du terrorisme ou de fraude définis par l’établissement.
Ces scenarii doivent être documentés et maintenus à jour, qu’il s’agisse d'une surveillance manuelle ou qu’ils s’appuient sur l’utilisation d’un outil de surveillance dédié.
Il convient, pour le PSAN, d’établir une gouvernance de son dispositif de surveillance des opérations, incluant notamment :
- la revue périodique du caractère approprié des règles et scenarii ;
- la justification de tout changement aux règles et seuils utilisés, et leur approbation formelle par la Gouvernance pour les plus significatifs ;
- des indicateurs d’activité pour contrôler le bon fonctionnement du dispositif (e.g. volume d’alertes par scénario, temps nécessaire à l’investigation des alertes) ;
- le contrôle permanent des dispositifs opérationnels, selon une approche par les risques ;
- le contrôle périodique du bon fonctionnement des règles et scenarii et du contrôle interne des systèmes de LCB-FT.
Au même titre que chaque traitement relevant de la LCB-FT, celui portant sur l’investigation des alertes déclenchées par son dispositif de surveillance des opérations doit être formalisé, clair et contrôlé.
La surveillance des opérations vise à identifier toute transaction suspecte au regard des informations dont dispose le PSAN.
Lorsqu’un client effectue une opération inhabituelle ou risquée, et en fonction des circonstances, le PSAN peut mettre en place des mesures de vigilance renforcées ainsi qu’un examen renforcé.
Situation | Vigilance renforcée |
Les informations communiquées sont incohérentes entre elles ou avec les opérations constatées | Demander au client des informations complémentaires. |
Le client a utilisé des outils d’anonymisation (mixing) ou l’actif est un AEC. | Demander au client des informations complémentaires sur l’opération d’anonymisation et sur l’origine des fonds. |
L’analyse transactionnelle révèle que l’adresse d’origine ou de destination est liée à : fraudes, cybercriminalité, plateformes de négociation peu ou non-régulées, smart contrats vulnérables... | Demander au client des informations complémentaires sur l’adresse considérée et sur l’origine des fonds, l’objet de l’opération, l’identité du destinataire. |
Les flux entrants et sortants du client sur la plateforme sont incohérents. | Demander des précisions sur le différentiel (origine des fonds, opérations antérieures, etc.) |
Le prestataire constate une opération particulièrement complexe ou d’un montant inhabituellement élevé ne paraissant pas avoir de justification économique ou d’objet licite. | Demander au client des informations sur : l’origine et la destination des fonds, l’objet de l’opération, l’identité du destinataire. |
Les actifs proviennent d’un acteur établie dans un Etat figurant sur les listes de pays à risque élevé de l’UE et du GaFi, ainsi que les pays soumis à des sanctions internationales (comme celle de l’UE) applicables à son activité. | Demander au client des informations complémentaires sur l’origine des fonds, l’objet de l’opération et l’identité du destinataire.
Si d'importants risques de BC-FT persistent, il est possible de refuser d’entrer en relation avec ce client. |
Si le PSAN n’a pu recueillir auprès du client que des justificatifs partiels, il devra alors apprécier l’étendue des justifications ou justificatifs, produits ou recueillis par tout moyen, au regard de l’opération en cause, de la connaissance actualisée du client et de son comportement financier, avant d’envisager d’effectuer une déclaration de soupçon auprès de TracFin.
La déclaration de soupçon à TRACFIN en cas d’opération(s) suspecte(s)
Les PSAN sont tenus de déclarer à TRACFIN (Cellule de Renseignement Financier française) toute opération suspecte par le biais d’une déclaration de soupçon.
Une opération suspecte correspond à :
- une opération présentant un atypisme au regard de la connaissance qu’à le PSAN de son client et de sa situation, et des caractéristiques de l’opération concernée (motif économique, origine et destinations des fonds ou crypto-actifs) ;
- une opération pour laquelle les informations complémentaires demandées par le PSAN à son client dans le cadre d’un examen renforcé n’ont pas permis de justifier de manière satisfaisante la légitimité de l’opération ;
- une opération qui serait directement reliée à une activité illicite.
Les cas nécessitant une déclaration obligatoire à TRACFIN incluent, sans s’y limiter, les soupçons liés à des infractions pénales graves, le financement du terrorisme, ou encore le soupçon de fraude fiscale - si les critères de l’article L.561-15 du CMF sont réunis pour ce dernier cas.
La déclaration de soupçon doit se faire préalablement à l’exécution de l’opération lorsque cela est possible. Dans le cas contraire, la déclaration de soupçon doit être réalisée “sans délais”. Il est à noter que l’ACPR retient régulièrement comme grief conduisant à une sanction pour manquement aux obligations de LCB-FT, celui d’un délai de transmission de déclaration de soupçon trop important.
Cette obligation déclarative suppose de nommer, en interne, un déclarant et un correspondant TRACFIN (cf. partie I. Organisation du dispositif LCB-FT), responsables de l’investigation et de la déclaration des activités suspectes. Le correspondant et le déclarant peuvent être la même personne.
→ L'identification de ces situations exige une analyse approfondie des transactions, en tenant compte de l'origine et de la destination des fonds, notamment dans des zones à risque.
Le PSAN doit maintenir un registre des déclarations effectuées, ainsi qu’une piste d’audit des investigations réalisées et les décisions prises suite à ces investigations, y compris quand ces investigations ont résulté en une décision de ne pas effectuer de déclaration de soupçon.
La déclaration peut être effectuée de deux manières :
- via le système de télédéclaration Ermès de TRACFIN ; ou
- par courrier à TRACFIN (pratique peu courante pour les établissements financiers et PSAN).
La déclaration doit respecter des conditions de validité/recevabilité. En outre, elle doit contenir des informations obligatoires et détaillées sur :
- le déclarant (prévu dans le portail de déclaration) ;
- le client ;
- l’opération ou le groupe d’opérations concernées ;
- les analyses justifiant le soupçon.
Elle est, de préférence, réalisée avant l'exécution de l'opération concernée, ou, si cela n'est pas possible, immédiatement après son exécution. De même, si des nouvelles informations sont portées à la connaissance du PSAN, ce dernier doit effectuer une déclaration modificative ou complémentaire.
Enfin, les procédures internes relatives à la déclaration de soupçon auprès de TRACFIN doivent être mises à jour régulièrement et communiquées à l'ensemble du personnel du PSAN concerné (déclarants et correspondants TRACFIN).
La mise en place d’un dispositif de gel des avoirs
En vertu de l’article L. 562-5 du Code monétaire et financier, les PSAN sont assujettis aux dispositions nationales et européennes en matière de gel des avoirs. Le gel des avoirs implique pour les PSAN de geler les fonds de ses clients sur lesquels pèse un fort soupçon de BC-FT, dont les avoirs sont liés au terrorisme ou qui sont soumis à des sanctions financières, et de s’assurer qu’aucun fonds (en fiat ou en crypto) ne soit mis, directement ou indirectement, à la disposition de ces clients. L’obligation de mettre en place un dispositif de gel des avoirs s’apparente à une obligation de résultat dont l’absence de mise en œuvre est sanctionnée sur le plan pénal.
L’obligation s’entend comme devant être appliquée sans délai, tout comme sa notification à la DGT.
➔ Les PSAN doivent se doter d’un dispositif de gel des avoirs couvrant aussi bien le “stock” (base de clients, mais aussi employés participant à la mise en oeuvre des obligations LCB/FT) que les flux de fonds, et comprenant :
- Une organisation ;
- Des procédures internes ;
- Des moyens matériels et humains suffisants ;
- Des personnels bénéficiant de formations appropriées et d’un accès aux informations nécessaires à l’exercice de leurs fonctions ;
- Un contrôle interne dédié à la mise en œuvre des mesures de gel, y compris au niveau du groupe.
Les PSAN doivent être en mesure de démontrer comment le dispositif de gel des avoirs opère dans la pratique, par exemple:
- paramétrage des outils utilisés pour le filtrage en cas de recours à un outil de filtrage automatique (e.g. fréquence du filtrage, listes prises en compte, niveaux de “fuzzy matching”) ;
- alertes générées par les outils de filtrage ;
- méthodologie d’investigation des alertes ;
- supports démontrant l’investigation et escalade interne et externe des alertes, comprenant notamment des justifications claires pour les décisions prises ;
- indicateurs d’activité et contrôles effectuées pour s’assurer de l'efficacité du dispositif ;
- tests de la fiabilité des outils tiers utilisés.
Le contrôle interne du dispositif de LCB-FT
En lien avec les standards en matière de contrôle interne, le PSAN prévoit et met en oeuvre un système de contrôle interne couvrant notamment son dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme.
Le système de contrôle interne s’organise idéalement autour de 3 lignes de défense selon les principes ci-dessous :
- 1er niveau : Le premier niveau de contrôle permanent est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.
- 2ème niveau : Le deuxième niveau de contrôle permanent est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques ou par une ou plusieurs unités indépendantes dédiées.
- 3ème niveau : Le troisième niveau de contrôle -contrôle périodique- est assuré par une fonction dédiée (e.g. audit interne) composée d'agents distincts de ceux réalisant les contrôles de premier et deuxième niveau.
Le contrôle interne permet de contrôler le bon fonctionnement des dispositifs déployés par le PSAN au titre de la LCB-FT, et leur conformité à l’égard des procédures internes du PSAN et de la réglementation applicable.
Les contrôles réalisés, ainsi que les déficiences identifiées par ces contrôles, doivent être documentées, communiquées au responsable du dispositif LCB-FT et, le cas échéant, aux dirigeants de la compagnie, et faire l’objet de mesures pour les corriger dans des délais appropriés.
De la même façon, le PSAN doit s’assurer que ses dirigeants disposent de toutes les informations nécessaires pour s’assurer du bon fonctionnement du dispositif LCB-FT. Ceci implique la documentation des informations remontées aux instances dirigeantes (e.g. résultats des contrôles menés, indicateurs d’activité pertinents pour suivre le fonctionnement du dispositif).
Dans le cas où le PSAN a recours à des services fournis par des tiers entrant dans le cadre de son dispositif de LCB-FT (externalisation pour la collecte, l’analyse des documents, la consultation des listes de sanctions ou des PPE, la vérification des données fournies par le client, tierce introduction, etc.), ceux-ci doivent également être intégrés dans le périmètre du contrôle interne.
Le PSAN demeure toujours responsable des opérations externalisées.
Lorsque le PSAN externalise des fonctions liées à la LCB-FT ou au gel des avoirs, il a l’obligation de communiquer à l’AMF, sur sa demande, le contrat d’externalisation conclu avec son prestataire. L'AMF peut demander la communication de ces informations à tout moment et par tout moyen.
Cette externalisation s’accompagne notamment d’obligations de documentation des conditions et modalités de l’externalisation dans le contrat correspondant, de mise à disposition de toute information nécessaire pour que le PSAN remplisse ses obligations réglementaires, et des mécanismes de contrôle de l’activité externalisée.
III. Evolution du régime LCB-FT : la travel rule
La travel rule est issue du règlement européen Transfer of Funds (TFR) tel que refondu et étendu aux crypto-actifs, et approuvé parallèlement au règlement MiCA. Le règlement est entré en vigueur le 29 juin 2023, et son application est prévueau 30 décembre 2024. Cette période de transition de 18 mois a été prévue pour permettre aux acteurs concernés de se préparer à la mise en œuvre de la réglementation.
La travel rule, initialement conçue par le Groupe d'action financière (GAFI) (cf. la “recommandation n°16”),, introduit pour les prestataires de services sur crypto-actifs (CASP) dans l’UE, et par ricochet aux acteurs opérant en France, de nouvelles exigences spécifiques facilitant la traçabilité des transferts de crypto-actifs, en mettant à leur charge une obligation de collecter et transmettre des informations sur la source des transferts de crypto-actifs ainsi que leurs bénéficiaires. Les CASP sont tenus de fournir ces renseignements aux autorités concernées sur demande.
Seuls seront concernés les CASP ou CASP intermédiaires ayant leur siège statutaire dans l’UE. Ces exigences n’ont pas vocation à s’appliquer aux transferts de crypto-actifs dont l’initiateur et le bénéficiaire sont tous deux des CASP agissant pour leur compte propre, ainsi qu’aux transferts constituant un transfert de crypto-actifs entre particuliers effectués sans l’intermédiation d’un CASP
A - Les obligations applicables au CASP de l’initiateur du transfert de crypto-actifs
Le CASP de l’initiateur de la transaction est tenu d’accompagner les transferts de crypto-actifs d’informations concernant l’initiateur de la transaction et le bénéficiaire des crypto-actifs. Ces informations sont communiquées avant, parallèlement ou en même temps que le transfert de crypto-actifs, de manière sécurisée conformément aux exigences posées par le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (RGPD). .
Le CASP de l’initiateur du transfert est, en tout état de cause, tenu de vérifier l’exactitude de ces informations sur la base de documents, données, ou de renseignements obtenus auprès d’une source fiable et indépendante.
B - Les obligations applicables au CASP du bénéficiaire de crypto-actifs
Le CASP du bénéficiaire de crypto-actifs est tenu de détecter si les informations mentionnées à la section A. ci-dessus sont incluses dans le transfert au moyen de procédures efficaces, y compris, en effectuant, le cas échéant, un contrôle après ou pendant les transferts. Il est également tenu de vérifier l’exactitude de ces informations sur le bénéficiaire sur la base de documents, de données ou de renseignements obtenus auprès d’une source fiable et indépendante.
Dans l’hypothèse où les informations sur l’initiateur et le bénéficiaire seraient manquantes ou incomplètes, le CASP peut rejeter le transfert, renvoyer les crypto-actifs sur le compte de l’initiateur, ou demander les informations requises sur l’initiateur et le bénéficiaire de crypto-actifs avant de mettre les crypto-actifs à la disposition du bénéficiaire de crypto-actifs.
Si le CASP de l’initiateur omet de manière répétée de fournir les informations requises sur l’initiateur ou le bénéficiaire de crypto-actifs, le CASP du bénéficiaire est tenu de prendre les dispositions appropriées (avertissements, fixation d’échéances etc.) avant de rejeter directement tout nouveau transfert de crypto-actifs en provenance ou à destination du CASP de l’initiateur, restreindre ou mettre fin à la relation d’affaires
L’omission constatée et les dispositions prises sont déclarées à l’ACPR. En toute hypothèse, les informations manquantes ou incomplètes concernant l’initiateur ou le bénéficiaire de crypto-actifs doivent être prises en compte par le CASP pour apprécier le caractère suspect d’un transfert de crypto-actifs ou d’une transaction qui s’y rattache et faire l’objet d’une déclaration à TRACFIN
C - Les obligations spécifiques en cas de transfert depuis ou vers une adresse auto-hébergée
Bien que les règles issues de TFR ne s’appliquent pas aux transferts constituant un transfert de crypto-actifs entre particuliers effectués sans l’intermédiation d’un CASP, ces règles ont toutefois vocation à couvrir les transferts de crypto-actifs effectués depuis ou vers une adresse “auto-hébergée”, auquel cas des mesures supplémentaires s’appliquent.
En outre, en cas de transfert de crypto-actifs effectué depuis ou vers une adresse auto-hébergée, le CASP de l’initiateur ou du bénéficiaire est tenu d’obtenir et de conserver l’ensemble des informations visées au A), et veille à ce que le transfert de crypto-actifs puisse être identifié individuellement. Dans l’hypothèse d’un transfert de crypto-actifs d’un montant supérieur à 1000 EUR vers ou depuis une adresse auto-hébergée, le CASP de l’initiateur et/ou du bénéficiaire prend les mesures appropriées pour déterminer si cette adresse appartient à l’initiateur et/ou bénéficiaire ou est contrôlée par celui-ci.
D - Les obligations applicables au CASP intermédiaire
Le CASP intermédiaire veille à ce que les informations reçues sur l’initiateur et le bénéficiaire de crypto-actifs qui accompagnent un transfert de crypto-actifs soient transmises avec le transfert, et à ce que ces informations soient conservées et mises à la disposition des autorités compétentes sur demande. Il est également tenu d’appliquer des procédures efficaces pour détecter si les informations sur l’initiateur ou le bénéficiaire de crypto-actifs ont été fournies avant le transfert, parallèlement à celui-ci ou en même temps que celui-ci.
Des procédures efficaces fondées sur les risques sont mises en place par le CASP intermédiaire afin de déterminer les mesures à prendre lorsque le transfert de crypto-actifs n’est pas accompagné des informations requises sur l’initiateur et le bénéficiaire de crypto-actifs (transmission, rejet, renvoi ou suspension du transfert). En cas d’informations manquantes ou incomplètes constatées lors de la réception d’un transfert de crypto-actifs, le CASP intermédiaire procède à une appréciation des risques et rejette le transfert, renvoie les crypto-actifs transférés, ou demande les informations requises sur l’initiateur et le bénéficiaire de crypto-actifs avant de transmettre le transfert de crypto-actifs.
A l’image des obligations applicables aux CASP du bénéficiaire de crypto-actifs, si le PSCA omet de manière répétée de fournir les informations requises sur l’initiateur ou le bénéficiaire de crypto-actifs, le CASP intermédiaire est tenu de prendre les dispositions appropriées (avertissements, fixation d’échéances etc.) avant de rejeter directement tout nouveau transfert de crypto-actifs en provenance ou à destination du PSCA, restreindre ou mettre fin à la relation d’affaires.
L’omission constatée et les dispositions prises sont déclarées à l’ACPR. En toute hypothèse, les informations manquantes ou incomplètes concernant l’initiateur ou le bénéficiaire de crypto-actifs doivent être prises en compte par le CASP pour apprécier le caractère suspect d’un transfert de crypto-actifs ou d’une transaction qui s’y rattache, et faire l’objet d’une déclaration à TRACFIN.
D - Les obligations communes à tous les CASP
Le règlement TFR prévoit la mise en place par les CASP de politiques, de procédures et de contrôles internes visant à garantir la mise en œuvre de mesures restrictives à l’échelle de l’UE et sur le plan national lorsqu’ils effectuent des transferts de crypto-actifs. Ces mesures seront précisées par l’Autorité bancaire européenne chargée d’émettre au plus tard le 30 décembre 2024 des orientations sur ce sujet.
Le CASP sont également soumis à des exigences de conservation et sont tenus de conserver, pendant une durée de 5 ans, les informations accompagnant les transferts de crypto-actifs de l’initiateur ou au bénéficiaire de crypto-actifs.
Documents de référence
-
Textes législatifs et réglementaires
- Chapitres Ier (parties législative et réglementaire) et II (parties législative et réglementaire) du Titre VI du livre V du code monétaire et financier
- Chapitre X du titre IV du livre V du code monétaire et financier sur les prestataires de services sur actifs numériques (parties législative et réglementaire)
- Lignes directrices de l’ACPR
- Titre II du Livre VII du règlement général de l’AMF : Les prestataires de services sur actifs numériques
- Arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques
- Instruction DOC-2019-23 « Régime applicable aux prestataires de services sur actifs numériques »
- Position DOC-2020-07 “Questions-réponses relatives au régime des prestataires de services sur actifs numériques” (mis à jour)
- Instruction DOC-2019-24 “Référentiel d’exigences en matière de cybersécurité”
- Loi DDADUE n° 2023-171 du 9 mars 2023 portant diverses dispositions d'adaptation au droit de l'Union européenne dans les domaines de l'économie, de la santé, du travail, des transports et de l'agriculture
- Règlement 2023/1113 du 31 mai 2023 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs, et modifiant la directive 2015/849
-
Publications institutionnelles sur l’analyse des risques pouvant nourrir la classification des risques
- Rapports d’activités et rapports d’analyse de Tracfin
- GAFI - Virtual Assets Red Flag Indicators of Money Laundering and Terrorist Financing, septembre 2020
- Supranational risk assessment (SNRA) de la Commission européenne, juillet 2019 et son annexe
- Opinion of the European Banking Authority on the risks of money laundering and terrorist financing affecting the European Union’s financial sector, mars 2021
- Rapport du groupe de travail du Forum Fintech ACPR-AMF sur l’application des règles de LCB-FT au secteur des crypto-actifs, mars 2021
- Evaluation supranationale des risques de BC-FT pesant sur le marché intérieur et liés aux activités transfrontières, octobre 2022
- -Analyse nationale des risques (ANR) de blanchiment de capitaux et de financement du terrorisme en France du COLB, janvier 2023
- Analyse sectorielle des risques (ASR) de blanchiment de capitaux et de financement du terrorisme en France de l’ACPR, juin 2023
- FATF – Targeted Update on Implementation of the FATF Standards on Virtual Assets and Virtual Asset Service Providers, juin 2023
- Opinion of the European Banking Authority on money laundering and terrorist financing risks affecting the EU’s financial sector, juillet 2023
-
Sites internet de l’AMF et de l’ACPR
- “Premier bilan de l’enregistrement des PSAN” de l’ACPR
- Page du site internet de l’AMF décrivant les démarches à suivre pour un enregistrement et un agrément
- Synthèse des principales mesures LCB-FT devant être mises en œuvre par les PSAN sur le site internet de l’AMF
- Communiqué de l’AMF et de l’ACPR du 27 juillet 2020 intitulé : « L’AMF et l’ACPR rappellent leurs obligations aux opérateurs de distributeurs automatiques de crypto-actifs opérant en France »
- Communiqué de l’AMF et de l’ACPR du 23 novembre 2020 intitulé : « L’AMF et l’ACPR rappellent que la période transitoire pour exercer une activité sur actifs numériques sans enregistrement prend fin le 18 décembre 2020 »Communiqué de l’AMF du 7 juin 2021 intitulé : « Actifs numériques : l’AMF modifie son règlement général et met à jour sa doctrine sur les PSAV »
- Prestataire de services sur actifs numériques (PSAN) - Formulaires pour le dossier d'enregistrement ou d'agrément - formulaires et déclarations
- Communiqué de presse - Actifs numériques : l'AMF modifie son règlement général et sa doctrine sur les PSAN en vue de l'enregistrement renforcé et du Règlement MiCA
En conclusion, les exigences du régime d'enregistrement renforcé sont similaires à celles imposées aux acteurs agréés, à la seule différence que les PSANs soumis au régime renforcé ne sont pas tenus de détenir un capital de réserve spécifié ou une assurance responsabilité professionnelle. |
S'abonner à notre lettre d'information
Merci !
Vous avez rejoint avec succès notre liste d’abonnés.