Guide méthodologique LCB-FT à l’attention des PSAN pour la constitution de leur dossier pour une demande d’enregistrement

Le présent guide s’adresse aux PSAN en cours d’enregistrement. Il vise à expliquer la marche à suivre par ces acteurs pour se conformer à la LCB-FT lors du dépôt de leur dossier d’enregistrement, sans que les éléments fournis ne soient exhaustifs.

Introduction 

Le présent guide méthodologique s’adresse aux prestataires de services sur actifs numériques (PSAN)1devant être enregistrés. Il reprend et synthétise les obligations auxquelles sont assujettis ces acteurs en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

La loi PACTE du 22 mai 20192 prévoit que les PSAN sont enregistrés par l’Autorité des marchés financiers (AMF) sur avis conforme de l’ Autorité de contrôle prudentiel et de résolution (ACPR). L’AMF s’assure que chaque PSAN se conforme à la réglementation relative à la LCB-FT et vérifie l’honorabilité et la compétence des dirigeants et bénéficiaires effectifs des PSAN. Lors de la phase d’enregistrement, l’AMF sollicite l’avis conforme de l’ACPR. 

L’ACPR assure la supervision des PSAN enregistrés et vérifie elle aussi le respect des obligations en matière de LCB-FT par les PSAN. Ainsi, si un PSAN a enfreint une obligation au respect de laquelle l’ACPR a pour mission de surveiller, la Commission des sanctions de l’ACPR sera compétente pour prononcer la radiation du PSAN de la liste blanche mentionnée à l’article L. 54-10-3 du Code monétaire et financier (i.e la liste blanche des PSAN enregistrés en France, disponible sur le site de l’AMF).

Mise en garde

Ce guide méthodologique tend à clarifier la marche à suivre par les PSAN pour se conformer à la LCB-FT et ainsi renforcer leur préparation dans la rédaction de leur dossier d’enregistrement. Il ne peut être assimilé à un conseil juridique ou financier.

Les éléments fournis dans le présent document ne sont pas exhaustifs. En effet, si ce guide reprend la plupart des obligations qui incombent aux PSAN en matière de LCB-FT, il ne vise pas à appréhender toutes les mesures à prendre en compte par ces derniers pour s’y conformer (et ce, en raison des spécificités afférentes à l’activité de chaque prestataire). Ainsi, le dispositif LCB-FT des PSAN doit appliquer l’ensemble de la réglementation en vigueur et ne pas se contenter de respecter les éléments détaillés dans ce guide.

Par ailleurs, il convient de rappeler que le dispositif LCB-FT du PSAN devra être totalement finalisé lors du dépôt du dossier d’enregistrement. Au moment du dépôt du dossier, les PSAN devront fournir des procédures opérationnelles aux autorités expliquant les modalités de mise en œuvre du dispositif LCB-FT. 

Il conviendra alors de détailler comment le PSAN entend prévenir les risques liés à son activité. Si le PSAN se limite à citer les textes législatifs et réglementaires sans expliquer la mise en œuvre pratique de l’approche par les risques, le dispositif ne correspondra pas aux attentes des régulateurs, il sera alors nécessaire de réadapter l’ensemble du dispositif à l’activité du PSAN.

Enfin, la compréhension de l’ensemble des exigences réglementaires et législatives par le dirigeant et le personnel concerné (i.e le chargé de conformité) sera prise en considération par les régulateurs pour constater la compétence du PSAN en matière de LCB-FT. Les PSAN sont invités à consulter les ressources recensées à la fin du guide dans le cadre de la constitution de leur dispositif LCB-FT. 

Organisation et modèle d’activité du PSAN

Lors du dépôt du dossier, plusieurs documents seront attendus par les régulateurs aux fins de constater la résilience du dispositif LCB-FT mis en place par le PSAN3 :

La description précise du modèle d’activité, y compris du dispositif LCB-FT notamment :

  • Les types de services sur actifs numériques fournis ainsi que le schéma des flux financiers pour chaque service ; 
  • Le type de clients : personnes physiques ou personnes morales, relations d’affaires ou clients occasionnels ; 
  • Le volume d’activité (nombre de transactions) envisagée par le prestataire ; et
  • Les équivalents temps plein travaillés impliqués dans le dispositif LCB-FT (élément secondaire).

La description de l’organisation du dispositif LCB-FT du PSAN, dont : 

  • L’identité du/des déclarant(s) et du correspondant Tracfin : CV, description du poste, honorabilité ;
  • L’identité du responsable du dispositif LCB-FT : CV et description du poste, honorabilité ; et
  • Description du dispositif LCB-FT en termes organisationnels et de ressources humaines allouées à la fonction.

La description des diligences clients telles que : 

  • Les modalités de distinction entre la clientèle habituelle (relation d’affaires) et la clientèle occasionnelle ; 
  • Les méthodes d’identification et de vérification d’identité de la clientèle ; 
  • Les procédés permettant d’identifier les opérations passées par la clientèle occasionnelle ; 
  • Les éléments recueillis par le PSAN pour procéder à la mise en place des mesures de vigilances ; et
  • Une description opérationnelle des mesures de vigilance.

La description du dispositif relatif aux opérations suspectes, notamment : 

  • Les procédures (comme l’utilisation d’outils d’analyse transactionnelle) permettant d’une part de détecter les opérations atypiques ou suspectes et d’autre part de traiter les alertes par une analyse documentée, menant à un classement sans suite, à un examen renforcé ou à une déclaration de soupçon auprès de TRACFIN ; et
  • Les modalités opérationnelles de déclaration de soupçon à TRACFIN ;

Décryptage

En sus des éléments mentionnés ci-dessus, les candidats devront être particulièrement vigilants sur l’expérience des dirigeants et des services de conformité. A cet égard, les régulateurs pourront demander aux dirigeants et aux chargés de conformité de suivre  des formations complémentaires avant l’enregistrement comme une formation sur les principes fondamentaux des crypto-actifs, une formation sur les Red Flags Indicators du GAFI en matière de blanchiment d’argent et de financement du terrorisme, et une formation sur l’utilisation d’outils d’analyse transactionnelle pour tracer les transactions en crypto-actifs et détecter les activités illicites. La formation devra être d’une durée suffisamment importante pour assurer la compréhension totale du dispositif et devra nécessairement être liée aux risques relatifs aux actifs numériques.

Externalisation : l’utilisation d’un prestataire tiers (le recours à des prestataires techniques dans la collecte, l’analyse des documents, la consultation des listes de sanctions ou des PPE et la vérification des données fournies par le client) par le PSAN doit faire l’objet d’un contrôle, car le PSAN reste responsable des opérations externalisées4.

La mise en place d’une classification des risques BC-FT

Conformément à la mise en garde générale introduisant ce guide méthodologique, l’Adan rappelle que la classification des risques par les PSAN en cours d’enregistrement dépend des spécificités du modèle d’affaires, des canaux de distribution, des services fournis, de la nature de la clientèle, des conditions de transaction proposées et de la zone géographique. La classification des risques devra ainsi faire l’objet d’une réflexion approfondie permettant d’appréhender l’ensemble des risques correspondants à l’activité du prestataire. 

Objet : recenser les principaux risques relatifs au blanchiment de capitaux et au financement du terrorisme (BC-FT) afin de déterminer le niveau de vigilance et la procédure adéquate permettant de limiter les risques. 

Cette classification des risques permettra par la suite calculer le score et le niveau de risque du client (scoring) au moment d’une opération sur actifs numériques mais aussi de manière générale, sans qu’aucune opération n’ait été forcément effectuée.

Elle doit être réalisée de façon à prendre en compte : 

  • Les caractéristiques de la clientèle visée :
    • Le type de clientèle : personne physique ou morale (une personne morale étant plus exposée au risque cyber, si le PSAN constate que celle-ci souhaite effectuer une transaction en crypto-actifs d’un montant important, il devra vérifier qu’il ne s’agisse pas d’une rançon suite à un ransomware) ; 
    • Le secteur d’activité ; 
    • L’utilisation d’un VPN ou d’adresses IP différentes pour accéder aux services devrait, dans certaines situations5, alerter les services conformité du PSAN.
  • Les risques liés au secteur géographique : Le PSAN doit contrôler l’origine et la destination des fonds. Se limiter à la nationalité de son client est insuffisant.
  • Les canaux de distribution utilisés : entrée en relation à distance, utilisation de distributeurs automatiques (ATM), etc. 
  • Les conditions de transaction : utilisation d’espèces ou de monnaies électroniques, de crypto-actifs anonymes (AEC), de mixers, ou de moyens de paiement présentant des risques de blanchiment (par exemple, les cartes prépayées6C’est à partir de cette classification des risques (qui doit être adaptée aux risques selon les types de services proposés), que les PSAN établissent une diversité de profils de risques et des mesures de contrôle adaptées qu’il conviendra de mettre en place ensuite.

 

Décryptage

 

A quelle fréquence faut-il mettre à jour les dossiers de ses clients ? 

Les bonnes pratiques relatives à la mise à jour des dossiers de clientèle dépendent du niveau de risque associé à chaque client (ce niveau de risque dépend des spécificités liées au client telles que sa profession ou sa zone géographique par exemple). Ainsi, plus le client présentera d’importants risques en matière de BC-FT, plus la fréquence de mise à jour du dossier sera courte. Cette fréquence peut ainsi varier entre un an (et parfois moins dans certains cas) pour les profils les plus risqués et cinq ans pour les profils faiblement risqués.

 

La mise en place de mesures de vigilance

 

À l’entrée en relation avec le client

L’identification du client par le PSAN

Champ d’application

Le Code monétaire et financier impose aux PSAN enregistrés auprès de l’AMF d’identifier leurs clients avant l’entrée en relation d’affaires, soit avant la réalisation de toute opération, quels qu’en soient le montant et la nature avec un KYC complet pour : 

  • Tous types de transactions (crypto-fiat et crypto-crypto) ;
  • Tous types montants à partir du premier euro ;
  • Tous types de clients (en matière d’identification du client par le PSAN, la distinction entre relation d’affaires et client occasionnel n’est plus nécessairement opportune).

Le contenu de l’obligation d’identification ;

L’identification repose sur le recueil des éléments d’identité précisés à l’article R. 561-5 du Code monétaire et financier. Le tableau ci-dessous récapitule l’ensemble des informations à recueillir par le PSAN selon le type de client. 

Type de client Informations à recueillir pour l’identification du client
Personne physique Nom, prénoms, date et lieu de naissance
Personne morale Forme juridique, dénomination sociale, immatriculation, siège social, registre des bénéficiaires effectifs. 
De plus, il convient de procéder à la vérification de l’identité des dirigeants effectifs7 Aux termes de l’article R561-7 du Code monétaire et financier. et de la personne agissant pour le compte du client personne morale8
FiduciaireNom, prénoms, des date et lieu de naissance des constituants, des fiduciaires, des bénéficiaires et, le cas échéant, du tiers
Placement collectif Forme juridique, dénomination sociale, numéro d’agrément, numéro international d’identification des valeurs mobilières
Dénomination, siège social et numéro d’agrément de la société de gestion qui le gère.

La vérification de l’identité du client

Article L561-5 du Code monétaire et financier

I. – Avant d’entrer en relation d’affaires avec leur client ou de l’assister dans la préparation ou la réalisation d’une transaction, les personnes mentionnées à l’article L. 561-2 :

1° Identifient leur client et, le cas échéant, le bénéficiaire effectif au sens de l’article L. 561-2-2 ;

2° Vérifient ces éléments d’identification sur présentation de tout document écrit à caractère probant.

 

Le décret du 2 avril 2021 allège les modalités d’identification des clients des PSAN à l’entrée en relation : les PSAN peuvent désormais recourir à un moyen d’identification d’un niveau de garantie substantiel (et plus nécessairement élevé), celui-ci pouvant être certifié/attesté par l’ANSSI (sans nécessairement le notifier à la Commission européenne).

Le niveau substantiel renvoie à un moyen d’identification électronique qui présente certaines garanties permettant de prévenir les risques de fraude ou d’usurpation d’identité. Le client doit alors disposer d’un document d’identité émis par un État membre et en avoir démontré sa possession.

Décryptage

Seules les pièces d’identité officielles peuvent être collectées par le PSAN pour vérifier l’identité des clients

Pièces d’identité valables pour procéder à la vérification du client– Une carte nationale d’identité ; et/ou
– Un passeport.
Pièces d’identité utiles pour limiter le risque de fraude documentaire du client. – Permis de conduire ;
– Original du livret de famille ;
– Un extrait de registre d’état civil du pays d’origine
– Carte étudiant ;
– Carte vitale.

Bien que le permis de conduire soit considéré comme une pièce d’identité officielle, ce document ne comporte pas d’information sur le lieu de résidence de son titulaire. A ce titre, le permis de conduire ne permet pas aux PSAN de procéder efficacement à la vérification d’identité du client. 

De plus, la conservation des documents d’identification de la clientèle devra être conforme aux exigences du Code monétaire et financier. Dès lors, les PSAN devront conserver tous les documents collectés concernant leur client (et leurs bénéficiaires effectifs) pendant 5 ans à compter de la date de l’opération (pour le client occasionnel) ou de la fin de la relation d’affaires (pour le client habituel en relation d’affaires)10.

 

La vigilance constante

La surveillance des opérations

Objet : détecter les opérations atypiques et suspectes des clients. 

Le Code monétaire et financier11 impose aux PSAN d’effectuer un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. Le PSAN est tenu de se renseigner auprès de son client sur l’origine des fonds et la destination de ces sommes ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie.

S’agissant de la surveillance des opérations du client par le PSAN, la distinction entre relation d’affaires et clientèle occasionnelle est opportune. Afin de limiter les risques liés au BC-FT, la mise en place d’un profil de la relation d’affaires est nécessaire.

Les PSAN établissent un profil de la relation d’affaires afin de déterminer les risques BC-FT soulevés par la relation d’affaires12 et d’adapter les mesures de vigilance vis-à-vis de chaque client. Ce profilage s’effectue en fonction de sa classification des risques, de la connaissance de la relation d’affaires, de la nature des opérations envisagées et des risques associés.

Le profil établi par le PSAN est amené à évoluer tout au long de la relation d’affaires au regard des éléments d’informations qui sont portés à la connaissance du PSAN. Selon les informations portées au PSAN par son client, le PSAN exigera de son client de justifier les informations mises à sa disposition afin de limiter le risque BC-FT.

Type de client Les informations à recueillir 
Personne physiqueLa profession ou les fonctions exercées, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou la situation patrimoniale ou financière, la qualité de résident ou de non résident fiscal, l’origine et/ou la destination des fonds.
Personne morale L’objet social, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou situation patrimoine ou financière, l’origine et/ou la destination des fonds, le siège social,  les statuts, l’identité des dirigeants, les comptes annuels et les délégations de pouvoirs

Décryptage

Il est nécessaire de faire le distingo entre le déclaratif et le justificatif concernant le profilage du client. Dans certaines situations, le PSAN doit exiger que son client justifie son statut pour limiter le risque BC-FT. Par exemple, un étudiant qui dépose 20 000€ sur une plateforme de négociation d’actifs numériques devra justifier son statut d’étudiant (car un tel montant est atypique au regard de la situation économique d’un étudiant). La justification des revenus peut être prouvée par le biais d’une fiche de paie, d’impôt et autres documents permettant de démontrer la source des fonds du client.

Les mesures de vigilance renforcée13

L’identification des risques liés au client nécessite de profiler ces derniers selon les risques liés à l’activité du prestataire et au secteur. Dans certaines situations, le PSAN devra mettre en place des mesures de vigilance renforcées vis-à-vis de son client.

Les mesures de vigilance renforcées à l’égard de la clientèle se distinguent de l’examen renforcé. L’examen renforcé consiste pour le PSAN à se renseigner auprès de son client sur l’origine des fonds, la destination des sommes ainsi que l’identité du bénéficiaire des fonds en cas d’opération  particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. A contrario, l’obligation de vigilance renforcée ne dépend pas uniquement du risque porté par une seule opération mais du profil de risque associé au client. 

Lorsqu’un client effectue une opération particulièrement risquée, il arrive parfois que le PSAN mette en place des mesures de vigilance renforcées ainsi qu’un examen renforcé. 

SituationVigilance renforcée
Les informations communiquées sont incohérentes entre elles ou avec les opérations constatéesDemander au client des informations complémentaires
Le client a utilisé des outils d’anonymisation (mixing) ou l’actif est un AEC.Demander au client des informations complémentaires sur l’opération d’anonymisation et sur l’origine des fonds.
L’analyse transactionnelle révèle que l’adresse d’origine ou de destination est liée à : fraudes, cybercriminalité, plateformes de négociation peu ou non-régulées, smart contrats vulnérables…Demander au client des informations complémentaires sur l’adresse considérée et sur l’origine des fonds, l’objet de l’opération, l’identité du destinataire.
Les flux entrants et sortants du client sur la plateforme sont incohérents.Demander des précisions sur le différentiel (origine des fonds, opérations antérieures, etc.)
Le prestataire constate une opération particulièrement complexe ou d’un montant inhabituellement élevé ne paraissant pas avoir de justification économique ou d’objet licite.Demander au client des informations sur : l’origine et la destination des fonds, l’objet de l’opération, l’identité du destinataire.
Les actifs proviennent d’un acteur établie dans un Etat figurant sur la liste noire du GaFIDemander au client des informations complémentaires sur l’origine des fonds, l’objet de l’opération et l’identité du destinataire.
Si d’importants risques de BC-FT persistent, il est possible de refuser d’entrer en relation avec ce client.

Si le PSAN n’a pu recueillir auprès du client que des justificatifs partiels, il devra alors apprécier l’étendue des justifications ou justificatifs, produits ou recueillis par tout moyen, au regard de l’opération en cause, de la connaissance actualisée du client et de son comportement financier, avant d’envisager d’effectuer une déclaration de soupçon auprès de TracFin.

La détection et les mesures de vigilance à l’égard des personnes politiquement exposées (PPE)

Les PSAN sont tenus de mettre en œuvre des mesures de vigilance complémentaires à compter de la date d’entrée en fonction en tant que PPE et dans le délai d’un an après la cessation de celles-ci. Les mesures mises en œuvre reposent sur des éléments objectifs selon le profil de risque de chacune des relations d’affaires avec des PPE. En effet, celles-ci peuvent présenter des profils de risque différents, plus ou moins élevés, tenant notamment compte des autres éléments de connaissance de la relation d’affaires, des produits ou services utilisés ainsi que des opérations envisagées ou réalisées.

Les types de PPELes personnes visées dans le Code monétaire et financier14
Les personnes exerçant les fonctions politiques, juridictionnelles et administratives prévues dans le Code monétaire et financier– Chef d’Etat, chef de gouvernement, membre d’un gouvernement national ou de la Commission européenne ;
– Membre d’une assemblée parlementaire nationale ou du Parlement européen, membre de l’organe dirigeant d’un parti ou groupement politique ou d’un parti ou groupement politique étranger ;
– Membre d’une Cour suprême, d’une Cour constitutionnelle ou d’une autre haute juridiction dont les décisions ne sont pas, sauf circonstances exceptionnelles, susceptibles de recours ;
– Membre d’une Cour des comptes, Dirigeant ou membre de l’organe de direction d’une banque centrale, Ambassadeur ou chargé d’affaires, Officier général ou officier supérieur assurant le commandement d’une armée ;
– Membre d’un organe d’administration, de direction ou de surveillance d’une entreprise publique, Directeur, Directeur adjoint, membres du conseil d’une organisation internationale créée par un traité, ou une personne qui occupe une position équivalente en son sein.
Les proches des personnes exerçant les fonctions précisées ci-dessus – Le conjoint ou le concubin notoire ;
– Le partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère ;
– Les enfants, ainsi que leur conjoint, leur partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère ;Les ascendants au premier degré.
Les personnes étroitement associés à une PPE– Les personnes physiques qui, conjointement avec la personne exerçant ou ayant exercé depuis moins d’un an l’une des fonctions listées ci-dessus, sont bénéficiaires effectifs d’une personne morale, d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable de droit étranger ;
– Les personnes physiques qui sont les seuls bénéficiaires effectifs d’une personne morale , d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable ;
– Les personnes physiques connues comme entretenant un lien d’affaires étroit avec une personne exerçant ou ayant exercé depuis moins d’un an l’une des fonctions listées ci-dessus. 

Décryptage

D’une manière générale, les PPE ne sauraient être classées en risque faible par le PSAN puisque le Code monétaire et financier impose un renforcement des mesures de vigilance à l’égard de ces clients.

La mise en œuvre de mesures de vigilance renforcées seront nécessaires pour des opérations présentant un risque élevé de BC-FT (cf. II de l’article L. 561-10-1 du Code monétaire et financier).

 

La mise en place d’un dispositif de gel des avoirs

En vertu de l’article L. 562-5 du Code monétaire et financier, les PSAN sont assujettis aux dispositions nationales et européennes en matière de gel des avoirs15. Le gel des avoirs implique pour les PSAN de geler les fonds de ses clients sur lesquels pèse un fort soupçon de BC-FT et de s’assurer qu’aucun fonds (en fiat ou en crypto) ne soit mis, directement ou indirectement, à la disposition de ces clients. L’obligation de mettre en place un dispositif de gel des avoirs s’apparente à une obligation de résultat16dont l’absence de mise en œuvre est sanctionnée sur le plan pénal17.

Les PSAN devront se doter d’un dispositif de gel des avoirs18 comprenant : 

  • Une organisation ;
  • Des procédures internes ;
  • Des moyens matériels et humains suffisants ;
  • Des personnels bénéficiant de formations appropriées et d’un accès aux informations nécessaires à l’exercice de leurs fonctions ;
  • Un contrôle interne dédié à la mise en œuvre des mesures de gel, y compris au niveau du groupe.

Lors du dépôt du dossier, le PSAN devra être en mesure de présenter un dispositif de gel des avoirs opérationnel afin de pouvoir correspondre aux attentes des autorités. 

Décryptage

Problématiques rencontrées par les PSAN en matière de gel des avoirs :

Lorsque le PSAN détient la clé de son clientLe gel des avoirs sera possible
Lorsque le PSAN n’a que la conservation de la clé de son client Le gel des avoirs sera possible 
Lorsque le PSAN ne détient pas la clé de son client La notion de gel des avoirs semble  inopérante
Solution possible : le PSAN ne devrait pas exécuter l’opération (ne pas donner la contre-valeur en actifs numériques) et garder les fonds fiat sauf s’il existe un risque pour le PSAN (cf. par analogie avec les changeurs manuels, §166 et s. des lignes directrices ACPR-DGT sur le gel des avoirs).

 

Documents de référence

 

Textes législatifs et réglementaires

 

Publications institutionnelles sur l’analyse des risques pouvant nourrir la classification des risques

 

Sites internet de l’AMF et de l’ACPR

p/o Virginie Gastine Menou

RISQUES ET VOUS

http://www.risquesetvous.fr/

https://www.linkedin.com/company/risques-et-vous

 

 

✍🏼 Proposer une offre de job : https://graces.community/recruteurs/

💈 Consulter les offres qui vous correspondent : https://job.graces.community/login

Publié le 26 octobre 2021 par

Virginie GASTINE MENOU

Partagez
Partager sur twitter
Partager sur linkedin

Les lecteurs de cet article ont également aimé

Inscrivez-vous à la Newsletter
[sibwp_form id=2]
fr_FR

Recherchez parmi tous nos contenus

Guide méthodologique LCB-FT à l’attention des PSAN pour la constitution de leur dossier pour une demande d’enregistrement

✋ Vous avez déjà consulté 3 articles aujourd'hui.
Créez un compte GRACES Community gratuitement pour accéder à tous nos contenus.


Site internet

Le présent guide s’adresse aux PSAN en cours d’enregistrement. Il vise à expliquer la marche à suivre par ces acteurs pour se conformer à la LCB-FT lors du dépôt de leur dossier d’enregistrement, sans que les éléments fournis ne soient exhaustifs.

Introduction 

Le présent guide méthodologique s’adresse aux prestataires de services sur actifs numériques (PSAN)1devant être enregistrés. Il reprend et synthétise les obligations auxquelles sont assujettis ces acteurs en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).

La loi PACTE du 22 mai 20192 prévoit que les PSAN sont enregistrés par l’Autorité des marchés financiers (AMF) sur avis conforme de l’ Autorité de contrôle prudentiel et de résolution (ACPR). L’AMF s’assure que chaque PSAN se conforme à la réglementation relative à la LCB-FT et vérifie l’honorabilité et la compétence des dirigeants et bénéficiaires effectifs des PSAN. Lors de la phase d’enregistrement, l’AMF sollicite l’avis conforme de l’ACPR. 

L’ACPR assure la supervision des PSAN enregistrés et vérifie elle aussi le respect des obligations en matière de LCB-FT par les PSAN. Ainsi, si un PSAN a enfreint une obligation au respect de laquelle l’ACPR a pour mission de surveiller, la Commission des sanctions de l’ACPR sera compétente pour prononcer la radiation du PSAN de la liste blanche mentionnée à l’article L. 54-10-3 du Code monétaire et financier (i.e la liste blanche des PSAN enregistrés en France, disponible sur le site de l’AMF).

Mise en garde

Ce guide méthodologique tend à clarifier la marche à suivre par les PSAN pour se conformer à la LCB-FT et ainsi renforcer leur préparation dans la rédaction de leur dossier d’enregistrement. Il ne peut être assimilé à un conseil juridique ou financier.

Les éléments fournis dans le présent document ne sont pas exhaustifs. En effet, si ce guide reprend la plupart des obligations qui incombent aux PSAN en matière de LCB-FT, il ne vise pas à appréhender toutes les mesures à prendre en compte par ces derniers pour s’y conformer (et ce, en raison des spécificités afférentes à l’activité de chaque prestataire). Ainsi, le dispositif LCB-FT des PSAN doit appliquer l’ensemble de la réglementation en vigueur et ne pas se contenter de respecter les éléments détaillés dans ce guide.

Par ailleurs, il convient de rappeler que le dispositif LCB-FT du PSAN devra être totalement finalisé lors du dépôt du dossier d’enregistrement. Au moment du dépôt du dossier, les PSAN devront fournir des procédures opérationnelles aux autorités expliquant les modalités de mise en œuvre du dispositif LCB-FT. 

Il conviendra alors de détailler comment le PSAN entend prévenir les risques liés à son activité. Si le PSAN se limite à citer les textes législatifs et réglementaires sans expliquer la mise en œuvre pratique de l’approche par les risques, le dispositif ne correspondra pas aux attentes des régulateurs, il sera alors nécessaire de réadapter l’ensemble du dispositif à l’activité du PSAN.

Enfin, la compréhension de l’ensemble des exigences réglementaires et législatives par le dirigeant et le personnel concerné (i.e le chargé de conformité) sera prise en considération par les régulateurs pour constater la compétence du PSAN en matière de LCB-FT. Les PSAN sont invités à consulter les ressources recensées à la fin du guide dans le cadre de la constitution de leur dispositif LCB-FT. 

Organisation et modèle d’activité du PSAN

Lors du dépôt du dossier, plusieurs documents seront attendus par les régulateurs aux fins de constater la résilience du dispositif LCB-FT mis en place par le PSAN3 :

La description précise du modèle d’activité, y compris du dispositif LCB-FT notamment :

  • Les types de services sur actifs numériques fournis ainsi que le schéma des flux financiers pour chaque service ; 
  • Le type de clients : personnes physiques ou personnes morales, relations d’affaires ou clients occasionnels ; 
  • Le volume d’activité (nombre de transactions) envisagée par le prestataire ; et
  • Les équivalents temps plein travaillés impliqués dans le dispositif LCB-FT (élément secondaire).

La description de l’organisation du dispositif LCB-FT du PSAN, dont : 

  • L’identité du/des déclarant(s) et du correspondant Tracfin : CV, description du poste, honorabilité ;
  • L’identité du responsable du dispositif LCB-FT : CV et description du poste, honorabilité ; et
  • Description du dispositif LCB-FT en termes organisationnels et de ressources humaines allouées à la fonction.

La description des diligences clients telles que : 

  • Les modalités de distinction entre la clientèle habituelle (relation d’affaires) et la clientèle occasionnelle ; 
  • Les méthodes d’identification et de vérification d’identité de la clientèle ; 
  • Les procédés permettant d’identifier les opérations passées par la clientèle occasionnelle ; 
  • Les éléments recueillis par le PSAN pour procéder à la mise en place des mesures de vigilances ; et
  • Une description opérationnelle des mesures de vigilance.

La description du dispositif relatif aux opérations suspectes, notamment : 

  • Les procédures (comme l’utilisation d’outils d’analyse transactionnelle) permettant d’une part de détecter les opérations atypiques ou suspectes et d’autre part de traiter les alertes par une analyse documentée, menant à un classement sans suite, à un examen renforcé ou à une déclaration de soupçon auprès de TRACFIN ; et
  • Les modalités opérationnelles de déclaration de soupçon à TRACFIN ;

Décryptage

En sus des éléments mentionnés ci-dessus, les candidats devront être particulièrement vigilants sur l’expérience des dirigeants et des services de conformité. A cet égard, les régulateurs pourront demander aux dirigeants et aux chargés de conformité de suivre  des formations complémentaires avant l’enregistrement comme une formation sur les principes fondamentaux des crypto-actifs, une formation sur les Red Flags Indicators du GAFI en matière de blanchiment d’argent et de financement du terrorisme, et une formation sur l’utilisation d’outils d’analyse transactionnelle pour tracer les transactions en crypto-actifs et détecter les activités illicites. La formation devra être d’une durée suffisamment importante pour assurer la compréhension totale du dispositif et devra nécessairement être liée aux risques relatifs aux actifs numériques.

Externalisation : l’utilisation d’un prestataire tiers (le recours à des prestataires techniques dans la collecte, l’analyse des documents, la consultation des listes de sanctions ou des PPE et la vérification des données fournies par le client) par le PSAN doit faire l’objet d’un contrôle, car le PSAN reste responsable des opérations externalisées4.

La mise en place d’une classification des risques BC-FT

Conformément à la mise en garde générale introduisant ce guide méthodologique, l’Adan rappelle que la classification des risques par les PSAN en cours d’enregistrement dépend des spécificités du modèle d’affaires, des canaux de distribution, des services fournis, de la nature de la clientèle, des conditions de transaction proposées et de la zone géographique. La classification des risques devra ainsi faire l’objet d’une réflexion approfondie permettant d’appréhender l’ensemble des risques correspondants à l’activité du prestataire. 

Objet : recenser les principaux risques relatifs au blanchiment de capitaux et au financement du terrorisme (BC-FT) afin de déterminer le niveau de vigilance et la procédure adéquate permettant de limiter les risques. 

Cette classification des risques permettra par la suite calculer le score et le niveau de risque du client (scoring) au moment d’une opération sur actifs numériques mais aussi de manière générale, sans qu’aucune opération n’ait été forcément effectuée.

Elle doit être réalisée de façon à prendre en compte : 

  • Les caractéristiques de la clientèle visée :
    • Le type de clientèle : personne physique ou morale (une personne morale étant plus exposée au risque cyber, si le PSAN constate que celle-ci souhaite effectuer une transaction en crypto-actifs d’un montant important, il devra vérifier qu’il ne s’agisse pas d’une rançon suite à un ransomware) ; 
    • Le secteur d’activité ; 
    • L’utilisation d’un VPN ou d’adresses IP différentes pour accéder aux services devrait, dans certaines situations5, alerter les services conformité du PSAN.
  • Les risques liés au secteur géographique : Le PSAN doit contrôler l’origine et la destination des fonds. Se limiter à la nationalité de son client est insuffisant.
  • Les canaux de distribution utilisés : entrée en relation à distance, utilisation de distributeurs automatiques (ATM), etc. 
  • Les conditions de transaction : utilisation d’espèces ou de monnaies électroniques, de crypto-actifs anonymes (AEC), de mixers, ou de moyens de paiement présentant des risques de blanchiment (par exemple, les cartes prépayées6C’est à partir de cette classification des risques (qui doit être adaptée aux risques selon les types de services proposés), que les PSAN établissent une diversité de profils de risques et des mesures de contrôle adaptées qu’il conviendra de mettre en place ensuite.

Décryptage

A quelle fréquence faut-il mettre à jour les dossiers de ses clients ? 

Les bonnes pratiques relatives à la mise à jour des dossiers de clientèle dépendent du niveau de risque associé à chaque client (ce niveau de risque dépend des spécificités liées au client telles que sa profession ou sa zone géographique par exemple). Ainsi, plus le client présentera d’importants risques en matière de BC-FT, plus la fréquence de mise à jour du dossier sera courte. Cette fréquence peut ainsi varier entre un an (et parfois moins dans certains cas) pour les profils les plus risqués et cinq ans pour les profils faiblement risqués.

La mise en place de mesures de vigilance

À l’entrée en relation avec le client

L’identification du client par le PSAN

Champ d’application

Le Code monétaire et financier impose aux PSAN enregistrés auprès de l’AMF d’identifier leurs clients avant l’entrée en relation d’affaires, soit avant la réalisation de toute opération, quels qu’en soient le montant et la nature avec un KYC complet pour : 

  • Tous types de transactions (crypto-fiat et crypto-crypto) ;
  • Tous types montants à partir du premier euro ;
  • Tous types de clients (en matière d’identification du client par le PSAN, la distinction entre relation d’affaires et client occasionnel n’est plus nécessairement opportune).

➔ Le contenu de l’obligation d’identification ;

L’identification repose sur le recueil des éléments d’identité précisés à l’article R. 561-5 du Code monétaire et financier. Le tableau ci-dessous récapitule l’ensemble des informations à recueillir par le PSAN selon le type de client. 

Type de client  Informations à recueillir pour l’identification du client
Personne physique  Nom, prénoms, date et lieu de naissance
Personne morale  Forme juridique, dénomination sociale, immatriculation, siège social, registre des bénéficiaires effectifs. 
De plus, il convient de procéder à la vérification de l’identité des dirigeants effectifs7 Aux termes de l’article R561-7 du Code monétaire et financier. et de la personne agissant pour le compte du client personne morale8
Fiduciaire Nom, prénoms, des date et lieu de naissance des constituants, des fiduciaires, des bénéficiaires et, le cas échéant, du tiers
Placement collectif  Forme juridique, dénomination sociale, numéro d’agrément, numéro international d’identification des valeurs mobilières
Dénomination, siège social et numéro d’agrément de la société de gestion qui le gère.

La vérification de l’identité du client

Article L561-5 du Code monétaire et financier

I. – Avant d’entrer en relation d’affaires avec leur client ou de l’assister dans la préparation ou la réalisation d’une transaction, les personnes mentionnées à l’article L. 561-2 :

1° Identifient leur client et, le cas échéant, le bénéficiaire effectif au sens de l’article L. 561-2-2 ;

2° Vérifient ces éléments d’identification sur présentation de tout document écrit à caractère probant.

Le décret du 2 avril 2021 allège les modalités d’identification des clients des PSAN à l’entrée en relation : les PSAN peuvent désormais recourir à un moyen d’identification d’un niveau de garantie substantiel (et plus nécessairement élevé), celui-ci pouvant être certifié/attesté par l’ANSSI (sans nécessairement le notifier à la Commission européenne).

Le niveau substantiel renvoie à un moyen d’identification électronique qui présente certaines garanties permettant de prévenir les risques de fraude ou d’usurpation d’identité. Le client doit alors disposer d’un document d’identité émis par un État membre et en avoir démontré sa possession.

Décryptage

Seules les pièces d’identité officielles peuvent être collectées par le PSAN pour vérifier l’identité des clients

Pièces d’identité valables pour procéder à la vérification du client – Une carte nationale d’identité ; et/ou
– Un passeport.
Pièces d’identité utiles pour limiter le risque de fraude documentaire du client.  – Permis de conduire ;
– Original du livret de famille ;
– Un extrait de registre d’état civil du pays d’origine
– Carte étudiant ;
– Carte vitale.

Bien que le permis de conduire soit considéré comme une pièce d’identité officielle, ce document ne comporte pas d’information sur le lieu de résidence de son titulaire. A ce titre, le permis de conduire ne permet pas aux PSAN de procéder efficacement à la vérification d’identité du client. 

De plus, la conservation des documents d’identification de la clientèle devra être conforme aux exigences du Code monétaire et financier. Dès lors, les PSAN devront conserver tous les documents collectés concernant leur client (et leurs bénéficiaires effectifs) pendant 5 ans à compter de la date de l’opération (pour le client occasionnel) ou de la fin de la relation d’affaires (pour le client habituel en relation d’affaires)10.

La vigilance constante

La surveillance des opérations

Objet : détecter les opérations atypiques et suspectes des clients. 

Le Code monétaire et financier11 impose aux PSAN d’effectuer un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. Le PSAN est tenu de se renseigner auprès de son client sur l’origine des fonds et la destination de ces sommes ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie.

S’agissant de la surveillance des opérations du client par le PSAN, la distinction entre relation d’affaires et clientèle occasionnelle est opportune. Afin de limiter les risques liés au BC-FT, la mise en place d’un profil de la relation d’affaires est nécessaire.

Les PSAN établissent un profil de la relation d’affaires afin de déterminer les risques BC-FT soulevés par la relation d’affaires12 et d’adapter les mesures de vigilance vis-à-vis de chaque client. Ce profilage s’effectue en fonction de sa classification des risques, de la connaissance de la relation d’affaires, de la nature des opérations envisagées et des risques associés.

Le profil établi par le PSAN est amené à évoluer tout au long de la relation d’affaires au regard des éléments d’informations qui sont portés à la connaissance du PSAN. Selon les informations portées au PSAN par son client, le PSAN exigera de son client de justifier les informations mises à sa disposition afin de limiter le risque BC-FT.

Type de client  Les informations à recueillir 
Personne physique La profession ou les fonctions exercées, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou la situation patrimoniale ou financière, la qualité de résident ou de non résident fiscal, l’origine et/ou la destination des fonds.
Personne morale  L’objet social, le secteur d’activité et l’environnement des opérations financières concernées, les revenus connus ou déclarés et/ou situation patrimoine ou financière, l’origine et/ou la destination des fonds, le siège social,  les statuts, l’identité des dirigeants, les comptes annuels et les délégations de pouvoirs

Décryptage

Il est nécessaire de faire le distingo entre le déclaratif et le justificatif concernant le profilage du client. Dans certaines situations, le PSAN doit exiger que son client justifie son statut pour limiter le risque BC-FT. Par exemple, un étudiant qui dépose 20 000€ sur une plateforme de négociation d’actifs numériques devra justifier son statut d’étudiant (car un tel montant est atypique au regard de la situation économique d’un étudiant). La justification des revenus peut être prouvée par le biais d’une fiche de paie, d’impôt et autres documents permettant de démontrer la source des fonds du client.

Les mesures de vigilance renforcée13

L’identification des risques liés au client nécessite de profiler ces derniers selon les risques liés à l’activité du prestataire et au secteur. Dans certaines situations, le PSAN devra mettre en place des mesures de vigilance renforcées vis-à-vis de son client.

Les mesures de vigilance renforcées à l’égard de la clientèle se distinguent de l’examen renforcé. L’examen renforcé consiste pour le PSAN à se renseigner auprès de son client sur l’origine des fonds, la destination des sommes ainsi que l’identité du bénéficiaire des fonds en cas d’opération  particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. A contrario, l’obligation de vigilance renforcée ne dépend pas uniquement du risque porté par une seule opération mais du profil de risque associé au client. 

Lorsqu’un client effectue une opération particulièrement risquée, il arrive parfois que le PSAN mette en place des mesures de vigilance renforcées ainsi qu’un examen renforcé. 

Situation Vigilance renforcée
Les informations communiquées sont incohérentes entre elles ou avec les opérations constatées Demander au client des informations complémentaires
Le client a utilisé des outils d’anonymisation (mixing) ou l’actif est un AEC. Demander au client des informations complémentaires sur l’opération d’anonymisation et sur l’origine des fonds.
L’analyse transactionnelle révèle que l’adresse d’origine ou de destination est liée à : fraudes, cybercriminalité, plateformes de négociation peu ou non-régulées, smart contrats vulnérables… Demander au client des informations complémentaires sur l’adresse considérée et sur l’origine des fonds, l’objet de l’opération, l’identité du destinataire.
Les flux entrants et sortants du client sur la plateforme sont incohérents. Demander des précisions sur le différentiel (origine des fonds, opérations antérieures, etc.)
Le prestataire constate une opération particulièrement complexe ou d’un montant inhabituellement élevé ne paraissant pas avoir de justification économique ou d’objet licite. Demander au client des informations sur : l’origine et la destination des fonds, l’objet de l’opération, l’identité du destinataire.
Les actifs proviennent d’un acteur établie dans un Etat figurant sur la liste noire du GaFI Demander au client des informations complémentaires sur l’origine des fonds, l’objet de l’opération et l’identité du destinataire.
Si d’importants risques de BC-FT persistent, il est possible de refuser d’entrer en relation avec ce client.

Si le PSAN n’a pu recueillir auprès du client que des justificatifs partiels, il devra alors apprécier l’étendue des justifications ou justificatifs, produits ou recueillis par tout moyen, au regard de l’opération en cause, de la connaissance actualisée du client et de son comportement financier, avant d’envisager d’effectuer une déclaration de soupçon auprès de TracFin.

La détection et les mesures de vigilance à l’égard des personnes politiquement exposées (PPE)

Les PSAN sont tenus de mettre en œuvre des mesures de vigilance complémentaires à compter de la date d’entrée en fonction en tant que PPE et dans le délai d’un an après la cessation de celles-ci. Les mesures mises en œuvre reposent sur des éléments objectifs selon le profil de risque de chacune des relations d’affaires avec des PPE. En effet, celles-ci peuvent présenter des profils de risque différents, plus ou moins élevés, tenant notamment compte des autres éléments de connaissance de la relation d’affaires, des produits ou services utilisés ainsi que des opérations envisagées ou réalisées.

Les types de PPE Les personnes visées dans le Code monétaire et financier14
Les personnes exerçant les fonctions politiques, juridictionnelles et administratives prévues dans le Code monétaire et financier – Chef d’Etat, chef de gouvernement, membre d’un gouvernement national ou de la Commission européenne ;
– Membre d’une assemblée parlementaire nationale ou du Parlement européen, membre de l’organe dirigeant d’un parti ou groupement politique ou d’un parti ou groupement politique étranger ;
– Membre d’une Cour suprême, d’une Cour constitutionnelle ou d’une autre haute juridiction dont les décisions ne sont pas, sauf circonstances exceptionnelles, susceptibles de recours ;
– Membre d’une Cour des comptes, Dirigeant ou membre de l’organe de direction d’une banque centrale, Ambassadeur ou chargé d’affaires, Officier général ou officier supérieur assurant le commandement d’une armée ;
– Membre d’un organe d’administration, de direction ou de surveillance d’une entreprise publique, Directeur, Directeur adjoint, membres du conseil d’une organisation internationale créée par un traité, ou une personne qui occupe une position équivalente en son sein.
Les proches des personnes exerçant les fonctions précisées ci-dessus  – Le conjoint ou le concubin notoire ;
– Le partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère ;
– Les enfants, ainsi que leur conjoint, leur partenaire lié par un pacte civil de solidarité ou par un contrat de partenariat enregistré en vertu d’une loi étrangère ;Les ascendants au premier degré.
Les personnes étroitement associés à une PPE – Les personnes physiques qui, conjointement avec la personne exerçant ou ayant exercé depuis moins d’un an l’une des fonctions listées ci-dessus, sont bénéficiaires effectifs d’une personne morale, d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable de droit étranger ;
– Les personnes physiques qui sont les seuls bénéficiaires effectifs d’une personne morale , d’un placement collectif, d’une fiducie ou d’un dispositif juridique comparable ;
– Les personnes physiques connues comme entretenant un lien d’affaires étroit avec une personne exerçant ou ayant exercé depuis moins d’un an l’une des fonctions listées ci-dessus. 

Décryptage

D’une manière générale, les PPE ne sauraient être classées en risque faible par le PSAN puisque le Code monétaire et financier impose un renforcement des mesures de vigilance à l’égard de ces clients.

La mise en œuvre de mesures de vigilance renforcées seront nécessaires pour des opérations présentant un risque élevé de BC-FT (cf. II de l’article L. 561-10-1 du Code monétaire et financier).

La mise en place d’un dispositif de gel des avoirs

En vertu de l’article L. 562-5 du Code monétaire et financier, les PSAN sont assujettis aux dispositions nationales et européennes en matière de gel des avoirs15. Le gel des avoirs implique pour les PSAN de geler les fonds de ses clients sur lesquels pèse un fort soupçon de BC-FT et de s’assurer qu’aucun fonds (en fiat ou en crypto) ne soit mis, directement ou indirectement, à la disposition de ces clients. L’obligation de mettre en place un dispositif de gel des avoirs s’apparente à une obligation de résultat16dont l’absence de mise en œuvre est sanctionnée sur le plan pénal17.

Les PSAN devront se doter d’un dispositif de gel des avoirs18 comprenant : 

  • Une organisation ;
  • Des procédures internes ;
  • Des moyens matériels et humains suffisants ;
  • Des personnels bénéficiant de formations appropriées et d’un accès aux informations nécessaires à l’exercice de leurs fonctions ;
  • Un contrôle interne dédié à la mise en œuvre des mesures de gel, y compris au niveau du groupe.

Lors du dépôt du dossier, le PSAN devra être en mesure de présenter un dispositif de gel des avoirs opérationnel afin de pouvoir correspondre aux attentes des autorités. 

Décryptage

Problématiques rencontrées par les PSAN en matière de gel des avoirs :

Lorsque le PSAN détient la clé de son client Le gel des avoirs sera possible
Lorsque le PSAN n’a que la conservation de la clé de son client  Le gel des avoirs sera possible 
Lorsque le PSAN ne détient pas la clé de son client  La notion de gel des avoirs semble  inopérante
Solution possible : le PSAN ne devrait pas exécuter l’opération (ne pas donner la contre-valeur en actifs numériques) et garder les fonds fiat sauf s’il existe un risque pour le PSAN (cf. par analogie avec les changeurs manuels, §166 et s. des lignes directrices ACPR-DGT sur le gel des avoirs).

Documents de référence

Textes législatifs et réglementaires

Publications institutionnelles sur l’analyse des risques pouvant nourrir la classification des risques

Sites internet de l’AMF et de l’ACPR

p/o Virginie Gastine Menou

RISQUES ET VOUS

http://www.risquesetvous.fr/

https://www.linkedin.com/company/risques-et-vous

✍🏼 Proposer une offre de job : https://graces.community/recruteurs/

💈 Consulter les offres qui vous correspondent : https://job.graces.community/login

...
👉  Découvrez la suite de cet article en rejoignant la communauté GRACES