Utiliser les listes noires de la lutte anti-blanchiment
Par Jean-Charles Naimi
Prises dans le cadre global de la lutte contre le blanchiment de capitaux et du financement du terrorisme (LCB-FT), les obligations dites de gel des avoirs et de vigilance à l’égard des personnes politiquement exposées (PPE) s’imposent à de nombreuses professions, dont les conseillers en gestion de patrimoine intervenant sous les statuts réglementés, tels que ceux de courtiers d’assurance ou de conseillers en investissements financiers pour ne citer qu’eux. Des listes publiques et des outils privés existent sur le marché. Quelles sont leurs utilités ?
Satisfaire aux exigences en matière de gels des avoirs et détecter les personnes politiquement exposées (PPE) supposent que les intermédiaires identifient les personnes concernées afin de leur appliquer un traitement spécifique. Cette détection des personnes à risques s’intègre dans les procédures dénommées KYC (Know your Customer).
Gel des avoirs : une obligation de résultat
Les mesures de gel des avoirs interdisent aux professionnels de réaliser certaines opérations financières avec les personnes dont les avoirs sont gelés par les organismes internationaux ou les Etats. Elles prévoient, notamment, des restrictions d’accès aux marchés financiers, des interdictions d’octroyer des prêts ou de fournir des services d’assurance(1).
Pour le gel des avoirs, la réglementation impose aux organismes de se doter d’un dispositif permettant de détecter toutes opérations au bénéfice des personnes dont les fonds sont gelés. Le contrôle s’effectue en rapprochant les données possédées constitutives de l’identité avec les listes des avoirs gelés. La vérification se fait schématiquement à l’entrée en relation, avant toutes prestations et lorsque des changements ont été identifiés sur les listes utilisées. « La loi ne précise pas l’organisation à mettre en place, ni la liste à utiliser dont le choix appartient à l’organisme financier. Ce dernier peut ainsi décider d’utiliser des listes fournies par des prestataires extérieurs. Dans cette hypothèse, le dispositif de détection doit impérativement prendre en compte les mesures européennes et françaises de gel des avoirs, c’est-à-dire couvrir les listes légales nationales et européennes », indique l’Autorité de contrôle prudentiel et de résolution (ACPR).
PPE : une obligation de vigilance renforcée
Les PPE sont considérées comme exposées à des « risques plus élevés » de blanchiment de capitaux, notamment de corruption, en raison des fonctions qu’elles occupent. Les organismes financiers et intermédiaires doivent mettre en œuvre des obligations de vigilance spécifiques envers les PPE à propos de leurs situations professionnelle, familiale, financière et patrimoniale(2).
Pour les PPE, il n’existe pas de listes officielles en sachant que leur champ est vaste, puisque les personnes politiquement exposées regroupent les personnes qui exercent ou ont cessé d’exercer depuis moins d’un an des fonctions politiques, juridictionnelles ou administratives pour le compte de la France, d’un Etat étranger ou d’une organisation internationale, ainsi que leurs proches. Ces derniers sont les membres directs de la famille, notamment le conjoint, les enfants, ainsi que leur conjoint et les parents, mais aussi les personnes étroitement associées aux PPE, notamment dans le cadre d’une société ou structure juridique ou entretenant un lien d’affaires (commercial ou économique) étroit. Cette dernière notion est largement sujette à interprétation.
Des outils automatisés non obligatoires…
Dans les deux cas, plusieurs difficultés interviennent : obtenir les listes et les données nécessaires pour les opérations de filtrage, puis effectuer le filtrage à plusieurs moments, ensuite mettre en place la traçabilité nécessaire dès qu’une anomalie émerge et enfin bloquer les opérations quand le criblage est positif.
L’ACPR dans sa documentation(2) n’impose pas aux organismes de se doter d’un outil automatisé de détection des PPE (ce qui relève d’une obligation de moyen), chaque organisme peut ainsi adapter son dispositif à son activité, sa structure, son organisation ou sa taille. « Nous regardons si l’intermédiaire a mis en place des moyens autres qu’un outil. Celui-ci sera d’autant plus critiquable qu’il n’a pas utilisé des moyens aisément disponibles. Par exemple, il est simple d’obtenir la liste des parlementaires français, la liste des membres du gouvernement, la liste des parlementaires européens, et autres. Une micro-structure d’intermédiation peut objectivement se passer d’un outil, car elle a toute chance de pouvoir montrer que ses risques d’enrôler des PPE sont faibles et que donc son dispositif de détection est proportionné », explique l’ACPR.
Mais attention, l’ACPR précise que lorsque l’organisme a recours à des bases de données externes, il doit s’assurer de « la pertinence et de la fiabilité des données ainsi utilisées au regard de la réglementation ».
Difficile pour un petit cabinet de satisfaire à cette exigence. Mais pas impossible : « une petite structure peut unir ses forces avec d’autres ou solliciter un syndicat professionnel pour mettre en place une solution commune ; à notre connaissance, certains acteurs l’ont fait », avance le régulateur. « On notera cependant que sur le terrain, le traitement reste souvent en mode déclaratif pour les PPE », remarque Philippe Sanchis, directeur général de Vialink.
En matière de gel des avoirs (relevant d’une obligation de résultat), un outil automatisé de filtrage n’est pas non plus exigé, mais à ce niveau l’ACPR indique qu’il est cependant très souhaitable, voire nécessaire, lorsque la taille de l’organisme ainsi que la nature et le volume de ses activités ne permettent pas une détection manuelle en temps réel. « La loi ne précise pas l’organisation à mettre en place, ni la liste à utiliser dont le choix appartient à l’organisme financier qui peut ainsi décider d’utiliser des listes fournies par des prestataires extérieurs. Les organismes peuvent toutefois se contenter de la liste unique de la DGTrésor, car elle inclut les personnes soumises aux mesures nationales et européennes de gel des avoirs », commente le régulateur.
… mais auxquels il est difficile d’échapper
Des listes, il n’est pas difficile d’en trouver sur le marché à l’heure du Big Data pour constituer ses dossiers KYC.
Le groupe Altares, par exemple, acteur mondial de la donnée sur les entreprises, souligne qu’il dispose de plusieurs listes officielles mondiales (700 000 noms en France) qu’il alimente avec différentes sources (soit 30 000 sources de données, dont la « presse négative »). « Au-delà de la collecte des données, il y a tout le travail de classement des risques selon la personne, avertit Laurent Luce, chef de produit marketing chez Altares. La recherche de PPE se fait soit par entreprise, soit par personne. Dans le premier cas, la solution Altares va identifier les PPE dans l’ensemble de notre base de 300 millions d’entreprises dans le monde. Le coût est alors compris entre deux et cinq euros par entreprise. Dans le second cas, le client saisit les prénom et nom d’une personne, et le moteur de screening va identifier si cette personne est un PPE. Dans ce cas, nous disposons d’une licence par utilisateur avec consultation illimitée. »
Avant de se lancer dans l’achat de listes sur le marché, mieux vaut cependant être prudent. Les modalités de fabrication de « banques de données » de PPE qui agrègent les listes noires des organismes internationaux ont, semble-t-il, donné lieu à certaines dérives, qui ont été mises en avant par le passé dans plusieurs articles des presses suisse et belge.
A l’heure où les organismes publics s’interrogent sur l’utilisation et la constitution des bases de données, on aurait aimé avoir l’avis de la Commission nationale informatique et liberté (CNIL) sur la constitution de telles listes, mais celle-ci n’a pas répondu à nos sollicitations.
1. Articles L. 562-1 et suivants et R. 562-1 et suivants du code monétaire et financier.
2. 4e directive anti-blanchiment et article L. 561-10 du Code monétaire et financier.
3. Lignes directrices de l’ACPR sur la mise en œuvre des mesures de gel des avoirs et lignes directrices relatives au PPE.
Une plate-forme KYC qui garantit la traçabilité complète des contrôles réalisés
Filiale de la Bred, la société Vialink, commercialise sa solution de KYC principalement auprès d’institutions financières et de compagnies d’assurances. Basée sur l’intelligence artificielle, Vialink KYC répond aux exigences de mise en conformité des dossiers clients en donnant une vision à 360 degrés, grâce à l’automatisation des contrôles d’identité, des revenus et du profil, notamment sa qualité de PPE et sa présence sur une liste des sanctions internationales.
« Nous travaillons à partir des listes officielles et publiques, mais aussi de listes élaborées par des fournisseurs, confie Philippe Sanchis, directeur général de Vialink. Le plus important dans le processus KYC reste le traitement des données. Sur les PPE par exemple, nous retrouvons la notion de cercles concentriques. S’il n’est pas difficile de trouver l’information sur le premier échelon, c’est-à-dire jusqu’au maire d’une commune, cela se complique dès le deuxième échelon, sur le cercle familial et plus encore lorsqu’il s’agit de détecter les personnes en relations d’affaires. Avec le développement de processus 100 % digitaux, l’enjeu porte plus sur l’utilisation en temps réel de l’information disponible que sur une recherche d’exhaustivité absolue de la donnée. Ainsi, dans le cadre d’une entrée en relation, la vérification automatisée de l’ensemble des éléments sur la connaissance client va prendre une dizaine de secondes pour un dossier simple d’une personne physique contre environ dix minutes manuellement. Autre point important : dans notre domaine d’intervention, le régulateur vérifie que les processus des opérateurs sont performants. Même lorsque la vérification est bien faite, elle n’est pas forcément tracée dans les dossiers clients comme le réclame l’ACPR. Notre plate-forme KYC garantit la traçabilité complète des contrôles réalisés, grâce à un rapport horodaté et certifié. Pour le moment, nous n’avons pas de cabinet indépendant dans notre clientèle, mais nos solutions leur sont ouvertes. »
Choisir un outil qui utilise les listes de manière raisonnable
Jean-Marc Lafin est directeur général d’Astrée Consultants, créé en 2012, et président d’Astrée Solutions BeCLM, créé en 2014, deux sociétés spécialisées dans la conformité réglementaire, mais aussi la cybersécurité en proposant des solutions « prêtes à l’emploi », directement accessibles en mode SaaS, et couvrant tous les besoins de filtrage : lutte anti-blanchiment, lutte anti-terrorisme, personnes politiquement exposées…
PCGP : A quelles difficultés se heurtent les intermédiaires pour se procurer les listes de gel des avoirs ?
Jean-Marc Lafin : Sur le marché, plusieurs sociétés ont lancé des solutions proposant des listes et des outils de filtrage. Bon nombre d’entre elles pratiquent des prix inabordables pour les petites structures de conseil, compte tenu de la masse des informations qu’elles diffusent. Il est d’ailleurs étonnant que plusieurs d’entre elles commercialisent des listes officielles. A cela s’ajoutent des problématiques liées à une technologie des applications peu adaptées aux nouveaux modèles de vente en ligne qui réclament la détection des anomalies en temps réel via des interfaces de programmation applicative.
Malgré la formation obligatoire sur la lutte anti-blanchiment, on distingue parmi les intermédiaires ceux qui ignorent la loi de ceux qui ont choisi de rester dans une sorte de « délinquance rationnelle », en partant du principe que les outils coûtent trop cher, qu’ils ne veulent pas perdre des affaires pour autant et que le risque d’être contrôlé est marginal. A côté, il y a les intermédiaires qui ont choisi un mode opératoire personnel, mais qui dans bien des cas n’est pas sécurisé.
En réalité, il n’y a aucune raison que les solutions des éditeurs coûtent si cher à partir du moment où on ne vend pas de données publiques. Ce modèle de tarification peut mettre les petites structures d’intermédiation en danger. Il y a un tout un courant d’affaires autour de ces listes qui ne nous semble pas raisonnable.
Concernant les PPE, la réglementation n’impose pas aux organismes financiers de se doter d’un outil automatisé de détection. Par ailleurs, nous constatons la création de listes non officielles, pour lesquelles nous nous interrogeons sur leur compatibilité avec le droit au respect de la vie privée et le règlement général sur la protection des données (RGPD) ?
Quelles sont vos réponses pour les intermédiaires ?
Pour notre part, nous avons développé il y a trois ans une solution dont le coût est abordable pour les cabinets de conseils, de l’ordre de 99 euros par mois. Elle répond aux obligations et aux obligations seulement des intermédiaires. Nous comptons aujourd’hui cent cinquante clients, et nous filtrons 50 millions de personnes en France et à l’étranger. Nos automates peuvent aller chercher toutes les listes officielles du monde en sachant que cela n’est pas forcément utile ni judicieux, car plus on utilise de listes et plus on détecte d’anomalies qu’il faudra ensuite justifier.
Nous nous limitons pour nos outils aux PPE de niveau qui sont mentionnées sur les sites officiels. Il s’agit de données publiques que l’on peut utiliser de manière raisonnable. Dans la liste des PPE, il a été rajouté les bénéficiaires effectifs. Sur ce point, il était prévu un registre spécifique, mais qui n’est pas accessible au public. Comment doit-on procéder et pourquoi ne pas ouvrir les données publiques ? Au-delà, il apparaît que l’on fabrique des listes partout dans le monde avec des data crunchers, parfois en compulsant la presse people.
Vos réactions