Guide méthodologique LCB-FT à l’attention des PSAN pour la constitution de leur dossier pour une demande d’enregistrement

Le présent guide s’adresse aux PSAN en cours d’enregistrement. Il vise à expliquer la marche à suivre par ces acteurs pour se conformer à la LCB-FT lors du dépôt de leur dossier d’enregistrement, sans que les éléments fournis ne soient exhaustifs.

Introduction

Le présent guide méthodologique s’adresse aux prestataires de services sur actifs numériques (PSAN)1devant être enregistrés. Il reprend et synthétise les obligations auxquelles sont assujettis ces acteurs en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). La loi PACTE du 22 mai 20192 prévoit que les PSAN sont enregistrés par l’Autorité des marchés financiers (AMF) sur avis conforme de l’ Autorité de contrôle prudentiel et de résolution (ACPR). L’AMF s’assure que chaque PSAN se conforme à la réglementation relative à la LCB-FT et vérifie l’honorabilité et la compétence des dirigeants et bénéficiaires effectifs des PSAN. Lors de la phase d’enregistrement, l’AMF sollicite l’avis conforme de l’ACPR.  L’ACPR assure la supervision des PSAN enregistrés et vérifie elle aussi le respect des obligations en matière de LCB-FT par les PSAN. Ainsi, si un PSAN a enfreint une obligation au respect de laquelle l’ACPR a pour mission de surveiller, la Commission des sanctions de l’ACPR sera compétente pour prononcer la radiation du PSAN de la liste blanche mentionnée à l’article L. 54-10-3 du Code monétaire et financier (i.e la liste blanche des PSAN enregistrés en France, disponible sur le site de l’AMF).

Mise en garde

Ce guide méthodologique tend à clarifier la marche à suivre par les PSAN pour se conformer à la LCB-FT et ainsi renforcer leur préparation dans la rédaction de leur dossier d’enregistrement. Il ne peut être assimilé à un conseil juridique ou financier. Les éléments fournis dans le présent document ne sont pas exhaustifs. En effet, si ce guide reprend la plupart des obligations qui incombent aux PSAN en matière de LCB-FT, il ne vise pas à appréhender toutes les mesures à prendre en compte par ces derniers pour s’y conformer (et ce, en raison des spécificités afférentes à l’activité de chaque prestataire). Ainsi, le dispositif LCB-FT des PSAN doit appliquer l’ensemble de la réglementation en vigueur et ne pas se contenter de respecter les éléments détaillés dans ce guide. Par ailleurs, il convient de rappeler que le dispositif LCB-FT du PSAN devra être totalement finalisé lors du dépôt du dossier d’enregistrement. Au moment du dépôt du dossier, les PSAN devront fournir des procédures opérationnelles aux autorités expliquant les modalités de mise en œuvre du dispositif LCB-FT.  Il conviendra alors de détailler comment le PSAN entend prévenir les risques liés à son activité. Si le PSAN se limite à citer les textes législatifs et réglementaires sans expliquer la mise en œuvre pratique de l’approche par les risques, le dispositif ne correspondra pas aux attentes des régulateurs, il sera alors nécessaire de réadapter l’ensemble du dispositif à l’activité du PSAN. Enfin, la compréhension de l’ensemble des exigences réglementaires et législatives par le dirigeant et le personnel concerné (i.e le chargé de conformité) sera prise en considération par les régulateurs pour constater la compétence du PSAN en matière de LCB-FT. Les PSAN sont invités à consulter les ressources recensées à la fin du guide dans le cadre de la constitution de leur dispositif LCB-FT.

Organisation et modèle d’activité du PSAN

Lors du dépôt du dossier, plusieurs documents seront attendus par les régulateurs aux fins de constater la résilience du dispositif LCB-FT mis en place par le PSAN3 : ➔ La description précise du modèle d’activité, y compris du dispositif LCB-FT notamment :

• Les types de services sur actifs numériques fournis ainsi que le schéma des flux financiers pour chaque service ;
• Le type de clients : personnes physiques ou personnes morales, relations d’affaires ou clients occasionnels ;
• Le volume d’activité (nombre de transactions) envisagée par le prestataire ; et
• Les équivalents temps plein travaillés impliqués dans le dispositif LCB-FT (élément secondaire).

➔ La description de l’organisation du dispositif LCB-FT du PSAN, dont :

• L’identité du/des déclarant(s) et du correspondant Tracfin : CV, description du poste, honorabilité ;
• L’identité du responsable du dispositif LCB-FT : CV et description du poste, honorabilité ; et
• Description du dispositif LCB-FT en termes organisationnels et de ressources humaines allouées à la fonction.

➔ La description des diligences clients telles que :

• Les modalités de distinction entre la clientèle habituelle (relation d’affaires) et la clientèle occasionnelle ;
• Les méthodes d’identification et de vérification d’identité de la clientèle ;
• Les procédés permettant d’identifier les opérations passées par la clientèle occasionnelle ;
• Les éléments recueillis par le PSAN pour procéder à la mise en place des mesures de vigilances ; et
• Une description opérationnelle des mesures de vigilance.

➔ La description du dispositif relatif aux opérations suspectes, notamment :

• Les procédures (comme l’utilisation d’outils d’analyse transactionnelle) permettant d’une part de détecter les opérations atypiques ou suspectes et d’autre part de traiter les alertes par une analyse documentée, menant à un classement sans suite, à un examen renforcé ou à une déclaration de soupçon auprès de TRACFIN ; et
• Les modalités opérationnelles de déclaration de soupçon à TRACFIN ;

Décryptage En sus des éléments mentionnés ci-dessus, les candidats devront être particulièrement vigilants sur l’expérience des dirigeants et des services de conformité. A cet égard, les régulateurs pourront demander aux dirigeants et aux chargés de conformité de suivre  des formations complémentaires avant l’enregistrement comme une formation sur les principes fondamentaux des crypto-actifs, une formation sur les Red Flags Indicators du GAFI en matière de blanchiment d’argent et de financement du terrorisme, et une formation sur l’utilisation d’outils d’analyse transactionnelle pour tracer les transactions en crypto-actifs et détecter les activités illicites. La formation devra être d’une durée suffisamment importante pour assurer la compréhension totale du dispositif et devra nécessairement être liée aux risques relatifs aux actifs numériques. Externalisation : l’utilisation d’un prestataire tiers (le recours à des prestataires techniques dans la collecte, l’analyse des documents, la consultation des listes de sanctions ou des PPE et la vérification des données fournies par le client) par le PSAN doit faire l’objet d’un contrôle, car le PSAN reste responsable des opérations externalisées4.

La mise en place d’une classification des risques BC-FT

Conformément à la mise en garde générale introduisant ce guide méthodologique, l’Adan rappelle que la classification des risques par les PSAN en cours d’enregistrement dépend des spécificités du modèle d’affaires, des canaux de distribution, des services fournis, de la nature de la clientèle, des conditions de transaction proposées et de la zone géographique. La classification des risques devra ainsi faire l’objet d’une réflexion approfondie permettant d’appréhender l’ensemble des risques correspondants à l’activité du prestataire.  Objet : recenser les principaux risques relatifs au blanchiment de capitaux et au financement du terrorisme (BC-FT) afin de déterminer le niveau de vigilance et la procédure adéquate permettant de limiter les risques.  Cette classification des risques permettra par la suite calculer le score et le niveau de risque du client (scoring) au moment d’une opération sur actifs numériques mais aussi de manière générale, sans qu’aucune opération n’ait été forcément effectuée. Elle doit être réalisée de façon à prendre en compte :

• Les caractéristiques de la clientèle visée :
  • Le type de clientèle : personne physique ou morale (une personne morale étant plus exposée au risque cyber, si le PSAN constate que celle-ci souhaite effectuer une transaction en crypto-actifs d’un montant important, il devra vérifier qu’il ne s’agisse pas d’une rançon suite à un ransomware) ;
  • Le secteur d’activité ;
  • L’utilisation d’un VPN ou d’adresses IP différentes pour accéder aux services devrait, dans certaines situations5, alerter les services conformité du PSAN.
• Les risques liés au secteur géographique : Le PSAN doit contrôler l’origine et la destination des fonds. Se limiter à la nationalité de son client est insuffisant.
• Les canaux de distribution utilisés : entrée en relation à distance, utilisation de distributeurs automatiques (ATM), etc.
• Les conditions de transaction : utilisation d’espèces ou de monnaies électroniques, de crypto-actifs anonymes (AEC), de mixers, ou de moyens de paiement présentant des risques de blanchiment (par exemple, les cartes prépayées6_C’est à partir de cette classification des risques (qui doit être adaptée aux risques selon les types de services proposés), que les PSAN établissent une diversité de profils de risques et des mesures de contrôle adaptées qu’il conviendra de mettre en place ensuite._

Décryptage A quelle fréquence faut-il mettre à jour les dossiers de ses clients ?  Les bonnes pratiques relatives à la mise à jour des dossiers de clientèle dépendent du niveau de risque associé à chaque client (ce niveau de risque dépend des spécificités liées au client telles que sa profession ou sa zone géographique par exemple). Ainsi, plus le client présentera d’importants risques en matière de BC-FT, plus la fréquence de mise à jour du dossier sera courte. Cette fréquence peut ainsi varier entre un an (et parfois moins dans certains cas) pour les profils les plus risqués et cinq ans pour les profils faiblement risqués.

La mise en place de mesures de vigilance

À l’entrée en relation avec le client

L’identification du client par le PSAN

➔ Champ d’application ;  Le Code monétaire et financier impose aux PSAN enregistrés auprès de l’AMF d’identifier leurs clients avant l’entrée en relation d’affaires, soit avant la réalisation de toute opération, quels qu’en soient le montant et la nature avec un KYC complet pour :

• Tous types de transactions (crypto-fiat et crypto-crypto) ;
• Tous types montants à partir du premier euro ;
• Tous types de clients (en matière d’identification du client par le PSAN, la distinction entre relation d’affaires et client occasionnel n’est plus nécessairement opportune).

➔ Le contenu de l’obligation d’identification ; L’identification repose sur le recueil des éléments d’identité précisés à l’article R. 561-5 du Code monétaire et financier. Le tableau ci-dessous récapitule l’ensemble des informations à recueillir par le PSAN selon le type de client.

De plus, il convient de procéder à la vérification de l’identité des dirigeants effectifs

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000041592250/

La vérification de l’identité du client

Article L561-5 du Code monétaire et financier I. – Avant d’entrer en relation d’affaires avec leur client ou de l’assister dans la préparation ou la réalisation d’une transaction, les personnes mentionnées à l’article L. 561-2 : 1° Identifient leur client et, le cas échéant, le bénéficiaire effectif au sens de l’article L. 561-2-2 ; 2° Vérifient ces éléments d’identification sur présentation de tout document écrit à caractère probant. Le décret du 2 avril 2021 allège les modalités d’identification des clients des PSAN à l’entrée en relation : les PSAN peuvent désormais recourir à un moyen d’identification d’un niveau de garantie substantiel (et plus nécessairement élevé), celui-ci pouvant être certifié/attesté par l’ANSSI (sans nécessairement le notifier à la Commission européenne). Le niveau substantiel renvoie à un moyen d’identification électronique qui présente certaines garanties permettant de prévenir les risques de fraude ou d’usurpation d’identité. Le client doit alors disposer d’un document d’identité émis par un État membre et en avoir démontré sa possession. Décryptage

⚠ Seules les pièces d’identité officielles peuvent être collectées par le PSAN pour vérifier l’identité des clients :

Bien que le permis de conduire soit considéré comme une pièce d’identité officielle, ce document ne comporte pas d’information sur le lieu de résidence de son titulaire. A ce titre, le permis de conduire ne permet pas aux PSAN de procéder efficacement à la vérification d’identité du client.  De plus, la conservation des documents d’identification de la clientèle devra être conforme aux exigences du Code monétaire et financier. Dès lors, les PSAN devront conserver tous les documents collectés concernant leur client (et leurs bénéficiaires effectifs) pendant 5 ans à compter de la date de l’opération (pour le client occasionnel) ou de la fin de la relation d’affaires (pour le client habituel en relation d’affaires)10.

La vigilance constante

La surveillance des opérations

Objet : détecter les opérations atypiques et suspectes des clients.

Effectuer un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite

Le PSAN est tenu de se renseigner auprès de son client sur l’origine des fonds et la destination de ces sommes ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie.

S’agissant de la surveillance des opérations du client par le PSAN, la distinction entre relation d’affaires et clientèle occasionnelle est opportune. Afin de limiter les risques liés au BC-FT, la mise en place d’un profil de la relation d’affaires est nécessaire. Les PSAN établissent un profil de la relation d’affaires afin de déterminer les risques BC-FT soulevés par la relation d’affaires12 et d’adapter les mesures de vigilance vis-à-vis de chaque client. Ce profilage s’effectue en fonction de sa classification des risques, de la connaissance de la relation d’affaires, de la nature des opérations envisagées et des risques associés. Le profil établi par le PSAN est amené à évoluer tout au long de la relation d’affaires au regard des éléments d’informations qui sont portés à la connaissance du PSAN. Selon les informations portées au PSAN par son client, le PSAN exigera de son client de justifier les informations mises à sa disposition afin de limiter le risque BC-FT.

Décryptage Il est nécessaire de faire le distingo entre le déclaratif et le justificatif concernant le profilage du client. Dans certaines situations, le PSAN doit exiger que son client justifie son statut pour limiter le risque BC-FT. Par exemple, un étudiant qui dépose 20 000€ sur une plateforme de négociation d’actifs numériques devra justifier son statut d’étudiant (car un tel montant est atypique au regard de la situation économique d’un étudiant). La justification des revenus peut être prouvée par le biais d’une fiche de paie, d’impôt et autres documents permettant de démontrer la source des fonds du client.

Les mesures de vigilance renforcée13

L’identification des risques liés au client nécessite de profiler ces derniers selon les risques liés à l’activité du prestataire et au secteur. Dans certaines situations, le PSAN devra mettre en place des mesures de vigilance renforcées vis-à-vis de son client. Les mesures de vigilance renforcées à l’égard de la clientèle se distinguent de l’examen renforcé. L’examen renforcé consiste pour le PSAN à se renseigner auprès de son client sur l’origine des fonds, la destination des sommes ainsi que l’identité du bénéficiaire des fonds en cas d’opération  particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite. A contrario, l’obligation de vigilance renforcée ne dépend pas uniquement du risque porté par une seule opération mais du profil de risque associé au client.  Lorsqu’un client effectue une opération particulièrement risquée, il arrive parfois que le PSAN mette en place des mesures de vigilance renforcées ainsi qu’un examen renforcé.

L’analyse transactionnelle révèle que l’adresse d’origine ou de destination est liée à : fraudes, cybercriminalité, plateformes de négociation peu ou non-régulées, smart contrats vulnérables…

Si le PSAN n’a pu recueillir auprès du client que des justificatifs partiels, il devra alors apprécier l’étendue des justifications ou justificatifs, produits ou recueillis par tout moyen, au regard de l’opération en cause, de la connaissance actualisée du client et de son comportement financier, avant d’envisager d’effectuer une déclaration de soupçon auprès de TracFin.

La détection et les mesures de vigilance à l’égard des personnes politiquement exposées (PPE)

Les PSAN sont tenus de mettre en œuvre des mesures de vigilance complémentaires à compter de la date d’entrée en fonction en tant que PPE et dans le délai d’un an après la cessation de celles-ci. Les mesures mises en œuvre reposent sur des éléments objectifs selon le profil de risque de chacune des relations d’affaires avec des PPE. En effet, celles-ci peuvent présenter des profils de risque différents, plus ou moins élevés, tenant notamment compte des autres éléments de connaissance de la relation d’affaires, des produits ou services utilisés ainsi que des opérations envisagées ou réalisées.

Décryptage D’une manière générale, les PPE ne sauraient être classées en risque faible par le PSAN puisque le Code monétaire et financier impose un renforcement des mesures de vigilance à l’égard de ces clients. La mise en œuvre de mesures de vigilance renforcées seront nécessaires pour des opérations présentant un risque élevé de BC-FT (cf. II de l’article L. 561-10-1 du Code monétaire et financier).

La mise en place d’un dispositif de gel des avoirs

En vertu de l’article L. 562-5 du Code monétaire et financier, les PSAN sont assujettis aux dispositions nationales et européennes en matière de gel des avoirs15. Le gel des avoirs implique pour les PSAN de geler les fonds de ses clients sur lesquels pèse un fort soupçon de BC-FT et de s’assurer qu’aucun fonds (en fiat ou en crypto) ne soit mis, directement ou indirectement, à la disposition de ces clients. L’obligation de mettre en place un dispositif de gel des avoirs s’apparente à une obligation de résultat16dont l’absence de mise en œuvre est sanctionnée sur le plan pénal17. ➔ Les PSAN devront se doter d’un dispositif de gel des avoirs18 comprenant :

• Une organisation ;
• Des procédures internes ;
• Des moyens matériels et humains suffisants ;
• Des personnels bénéficiant de formations appropriées et d’un accès aux informations nécessaires à l’exercice de leurs fonctions ;
• Un contrôle interne dédié à la mise en œuvre des mesures de gel, y compris au niveau du groupe.

Lors du dépôt du dossier, le PSAN devra être en mesure de présenter un dispositif de gel des avoirs opérationnel afin de pouvoir correspondre aux attentes des autorités.

Documents de référence

Textes législatifs et réglementaires

• https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006072026/LEGISCTA000006153845/#LEGISCTA000036798558