Être rappelé
Nous contacter
Actualités
Librairie
Retour aux actualités
Partager ce contenu
Béatrice BON MICHEL
22 juin 2022

Du rapport GAFI au règlement européen [:en]From the FATF report to the EU regulation [:]

Le GAFI[1] vient d’émettre son rapport d’évaluation sur le dispositif LCB-FT en France. Il est jugé positif, c’est-à-dire au niveau des meilleures pratiques. En effet, hormis quelques « lacunes » jugées peu significatives (notamment sur le périmètre des établissements financiers), le rapport confirme la qualité des éléments mis en place au niveau législatif et de la supervision. Cela ne veut pas dire qu’on blanchit moins en France qu’ailleurs ; cela signifie principalement que le cadre fourni aux assujettis leur permet de mettre en place un dispositif adapté et efficace (au regard de nos connaissances d’aujourd’hui). Ce cadre nous permet d’avoir l’assurance raisonnable qu’on blanchira moins qu’ailleurs.

À l’heure où l’Europe met en place un plan ambitieux autour de 6 Piliers[2] (priorités), il est intéressant de s’interroger si la route est encore longue avant d’être conforme aux prochaines évolutions réglementaires[3].

Si les projets en cours ne constituent pas en soi des révolutions, la collecte de données devient suffisamment significative pour que la CNIL fasse une mise en garde sur la nécessité de bien encadrer les données collectées[4].

Nous proposons dans un premier temps de faire la synthèse des recommandations du Gafi (et oui, tout n’est pas encore parfait …) pour, dans un deuxième temps,  identifier les principales composantes de la future réglementation en matière de LCB-FT.

1.   Le rapport du GAFI : très bien mais peut encore mieux faire

Notre objectif n’est pas de faire une revue exhaustive du rapport du GAFI qui est suffisamment précis et structuré pour faciliter la lecture de toute personne s’intéressant aux détails du dispositif.

Notre objectif est de mettre en exergue les principaux points d’amélioration, qui se traduiront sûrement un jour ou l’autre par une évolution de la réglementation, ceci afin de bien comprendre l’esprit du dispositif.

De plus, nous conseillons vivement la lecture de ce rapport à toute personne qui s’intègre dans une équipe LCB-FT : en effet, ce rapport traite de toutes les composantes structurantes du dispositif[5], dont la plupart ne font l’objet d’aucune remarque de la part du GAFI. Une excellente façon de revoir ses connaissances sur les attendus !

1.1.   Les points d’attention sur la connaissance client

Le dispositif de surveillance du devoir de vigilance relatif à la clientèle est considéré comme tout à fait satisfaisant par le GAFI. Quelques éléments sont néanmoins à  améliorer :

  • Sur les Personnes Politiquement Exposées (PPE) :
    • Revoir le périmètre des personnes proches du PPE et notamment son entourage familial (le périmètre actuel est considéré comme trop limitatif) ;
    • Être prudent sur le fait que les PPE qui ne le sont plus depuis plus d’un an puissent revenir en vigilance normale (notamment dans le cas de contrats d’assurance-vie). En effet, même si certains ex-PPE restent en vigilance renforcée, ce n’est pas exactement équivalent à l’application de mesures de vigilances complémentaires.
  • Les bénéficiaires effectifs (BE) :
    • La majorité des institutions financières cherche à identifier les BE de leurs clients, mais vise surtout le contrôle capitalistique et dans quelques cas se réfère uniquement au registre des bénéficiaires effectifs (RBE) pour vérifier les informations ;
    • Concernant les sanctions, le GAFI s’étonne de l’absence ou la faiblesse des sanctions dans les cas suivants :
      • Défaut de conservation des informations et de mise à jour des informations auprès du RCS ;
      • les sanctions administratives pour manquement à l’obligation de déclaration du statut d’intermédiaire (perte du droit de vote ou de pouvoir et privation du droit au dividende) ne sont ni proportionnées ni dissuasives.
    • Pour les associations, les fondations et les fonds de dotation, il n’existe pas d’obligation d’identification du BE au sens du GAFI[6].

1.2.   Les enjeux de la correspondance bancaire

C’est là encore un point récurrent d’attention.

Les relations de correspondance bancaire au sein de l’UE font l’objet d’une approche par les risques mais pas d’une vigilance renforcée systématique.

Le GAFI considère que ce dispositif est restrictif. Il invite ainsi à développer une approche par les risques au sein du périmètre UE (et non uniquement hors UE).

1.3.   Les points d’attention sur les zones géographiques

La France est largement conforme aux exigences liées à la vigilance vis-à-vis des pays présentant un risque élevé.

Le GAFI met l’attention sur le fait que la législation française ne permet pas de cibler des pays spécifiques qui ne seraient pas identifiés soit par le GAFI soit par la Commission Européenne. De plus, le fait de donner la possibilité dans le cadre de vigilance renforcée de limiter les relations d’affaires pourrait amener à faire du de-resking.

1.4.   Les points d’attention sur les nouveaux entrants

Les acteurs tels les PSAV[7] (prestataires de service d’actifs virtuels) bénéficient d’un dispositif allégé par rapport aux autres institutions financières qui ne se justifient pas.

Il en est ainsi :

  • Des obligations de communiquer de manière explicite à l’autorité leurs évaluations des risques ;
  • Concernant les virements, si les PSAV connaissent leurs obligations concernant les règles de virement d’actifs virtuels et indiquent avoir mis en place les mesures nécessaires pour les mettre en œuvre, l’accompagnement des informations sur le donneur d’ordre et le bénéficiaire avec le virement, dites « Travel Rule », pose un défi technologique et les clarifications des autorités nationales et européennes sont attendues.

Concernant les entreprises et professions non financières désignées (EPNFD), la supervision basée sur les risques en matière de LBC/FT est encore récente et reste insuffisante pour certains secteurs, notamment pour les agents immobiliers et les notaires qui sont impliqués dans un secteur immobilier exposé à des risques de blanchiment importants.

1.5.   Les enjeux des groupes vis-à-vis de leur(s) entité(s) à l’étranger

Là encore, la France respecte les attendus, notamment en matière de procédures et de contrôle interne.

Cependant le GAFI appelle à être vigilant, pour les entreprises mères, vis-à-vis de leurs filiales et succursales dans l’UE/EEE. En effet, dans ce cas, elles s’assurent que les entités respectent la réglementation locale mais n’ont pas l’obligation de s’assurer que cette réglementation est aussi restrictive que la réglementation en France.

1.6.   Les enjeux de de-risking

 

Le sujet est à nouveau abordé par le GAFI : certaines institutions financières tendent à éviter les risques au lieu de les atténuer (par exemple vis-à-vis de la clientèle PSAN ou des organisations à but non lucratif – OBNL[8]).

Vis-à-vis des organisations à but non lucratif, ces mêmes organisations se sont plaintes d’avoir des difficultés à accéder au système bancaire du fait d’une exclusion liée à la finalité de l’organisation. Ce point fait écho aux plaintes déposées récemment de la part d’associations vis-à-vis du comportement de certains établissements[9].

2.   Les principales composantes de la prochaine réglementation

Si le rapport GAFI sur la France est satisfaisant, l’Europe avance pour harmoniser les dispositifs en réglementant (ce qui permettra de faciliter la supervision des entités des grands groupes qui sont situés au sein de l’UE, la réglementation devant être la même).

En effet, l’avantage d’une réglementation européenne, c’est d’harmoniser les dispositifs[10] et de réduire ainsi les opportunités transfrontières. Ce règlement permet également d’élargir le périmètre des assujettis à de nouveaux acteurs dont les prestataires de services sur crypto-actifs ainsi que les prestataires de services de financement participatif autres que ceux régis par le règlement (UE) 2020/1503.

Ce projet de règlement sera complété de normes techniques rédigées par l’ALBC-FT (Autorité de lutte contre le blanchiment de capitaux et le financement du terrorisme[11]) qui précisera certains points, comme par exemple les seuils applicables aux transactions conclues à titre occasionnel et les critères permettant d’identifier les transactions liées.

À partir du projet de règlement[12], quels seront les principaux impacts sur les dispositifs ?

2.1.   Renforcer l’approche par les risques

Le règlement se veut encore plus précis sur les éléments à prendre en compte qui peuvent influencer la survenance des risques. Les points suivants sont concernés :

2.1.1.    Une augmentation de la granularité de la classification des risques (Art.8)

Les critères permettant d’adapter le niveau de vigilance augmentent afin de mieux appréhender les facteurs de risque sur la clientèle, les produits, etc. Si ces facteurs sont généralement pris en compte dans le profil de risque client[13], le règlement systématise l’affinage de l’approche par les risques.

La classification, document au cœur de cette approche, devra faire l’objet d’une attention spécifique de la part des instances de gouvernance, la classification étant l’expression de l’appétence au risque en matière LCB-FT (ou, à tout le moins, des arbitrages qui sont tolérés par l’organisation).

2.1.2.    Les règles de base de la vigilance

Les entités assujetties appliquent des mesures de vigilance à l’égard de la clientèle dans les cas suivants :

  1. Lorsqu’elles nouent une relation d’affaires ;
  2. Lorsqu’elles sont associées ou procèdent à titre occasionnel à une transaction d’un montant égal ou supérieur à 10 000 EUR, ou sa contre-valeur en monnaie nationale, que cette transaction soit exécutée en une fois ou au moyen de transactions liées, ou d’un seuil inférieur fixé ;
  3. Lorsqu’il y a suspicion de BC-FT, indépendamment de tous seuils, exemptions ou dérogations applicables ;
  4. Lorsqu’il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l’identification d’un client.

Lorsqu’une entité assujettie n’est pas en mesure de se conformer aux mesures définies, elle s’abstient d’exécuter une transaction ou de nouer une relation d’affaires, et met un terme à la relation d’affaires et envisage de transmettre à la CRF une déclaration de transaction suspecte au sujet du client conformément à l’article 50 (Art. 17).

Pas d’évolution sur la justification économique des demandes clients (Art. 20) :

Identification de l’objet et de la nature envisagée d’une relation d’affaires ou d’une transaction conclue à titre occasionnel :

  • L’objet du compte, de la transaction ou de la relation d’affaires envisagés ;
  • Le montant estimé et la justification économique des transactions ou activités envisagées ;
  • L’origine des fonds ;
  • La destination des fonds.

2.1.3.    Des seuils sur certains types de client

Dans le cadre des clients occasionnels[14], le seuil sera harmonisé :

  • Harmonisation des seuils de vigilance dans le cadre des clients occasionnels :
    • Le seuil sera ramené à 10 000 EUR (ce qui ne changera pas grand-chose pour la plupart des établissements en France notamment).

De plus, une vigilance devra être en place à l’égard de la clientèle lorsque l’établissement (y compris les PSAN) engage ou exécute à titre occasionnel une transaction qui constitue un transfert de fonds[15] ou un transfert de crypto-actifs au sens de l’article 3, point 10), dudit règlement, à hauteur d’un montant supérieur à 1 000 EUR ou sa contre-valeur en monnaie nationale (Art 15).

Rappelons les règles en France sur la clientèle occasionnelle :

La réglementation n’impose pas la mise en œuvre de mesures de vigilance à l’égard du client occasionnel et, le cas échéant, de son bénéficiaire effectif… sauf dans les cas suivants (art L 561-5 du CMF):

  • En cas de soupçon de BC-FT (art. L. 561-26 du CMF) ;
  • Soit, lorsque l’opération répond à l’une des conditions limitativement énumérées (II de l’art. R. 561-10 du CMF) :
    • Une opération de transmission de fonds, quel que soit son montant ;
    • Une opération de change manuel d’un montant > 1 000 € ou des opérations de change liées entre elles dont le montant cumulé est > 1 000 € ou encore de toute opération de change à distance, quel que soit son montant.

2.1.4.    Les pays tiers à risque en matière LCB-FT

Le règlement propose de distinguer 3 catégories de pays tiers à risque, cohérentes avec l’approche du GAFI :

  • Les pays tiers dont les dispositifs LCB-FT présentent des « carences stratégiques importantes », qui seront désignés comme les « pays tiers à haut risque »[16];
  • Les pays tiers dont les dispositifs de LCB-FT présentent des « faiblesses en matière de conformité » ;
  • Les pays tiers représentant une menace spécifique et grave pour le système financier de l’UE et le bon fonctionnement du marché intérieur.

Les pays tiers dont les dispositifs de LBC-FT présentent des faiblesses en matière de conformité, définis comme étant soumis à une « surveillance accrue » par le GAFI, seront en principe identifiés par la Commission et soumis à des mesures de vigilance renforcées propres à chaque pays, proportionnées aux risques.

2.2.   Renforcement de la connaissance client et des mises à jour

2.2.1.    Un renforcement de La qualité des dossiers[17]

Les dossiers relatifs à la connaissance client et leur vérification devront être réalisés, dans le cadre de client en vigilance allégée, dans les 30 jours suivant la date d’entrée en relation.

Par ailleurs, la mise à jour des dossiers client ne devrait pas se faire au-delà de 5 ans (ce qui peut avoir une incidence pour certains grands réseaux bancaires).

Enfin, dans le cadre de la tierce introduction, la transmission d’information[18] sur le client devra être faite dans les 5 jours ouvrables suivant l’entrée en relation[19].

2.2.2.    Encore et toujours des enjeux de connaissance des bénéficiaires effectifs et de PPE

L’objectif est avant tout d’harmoniser les dispositifs au niveau européen.

Le sujet est d’importance et le règlement se doit d’être précis sur les sujets sensibles comme la connaissance du(des) bénéficiaire(s) effectif(s) ou les Personnes Politiquement Exposées (PPE).

Pas de grandes évolutions de ce côté-là.

On peut noter néanmoins le périmètre des acteurs qui auront l’obligation de divulgation d’informations sur les bénéficiaires effectifs :

  • Les entités juridiques constituées en dehors de l’Union et aux trusts exprès ou constructions juridiques similaires administrés en dehors de l’Union dès lors qu’ils opèrent dans l’UE :
    • « Les informations sur les bénéficiaires effectifs d’entités juridiques constituées en dehors de l’Union ou sur les bénéficiaires effectifs de trusts exprès ou de constructions juridiques similaires administrés en dehors de l’Union sont consignées dans le registre central (a minima dans au moins un des registres des états membres si ces entités opèrent sur plusieurs pays ».
  • Aux actionnaires prête-noms (nominee shareholders) et dirigeants prête-noms (nominee directors) :
    • « Les actionnaires prête-noms et dirigeants prête-noms de sociétés ou d’autres entités juridiques conservent des informations adéquates, exactes et actuelles sur l’identité de leur mandant, ainsi que sur le ou les bénéficiaires effectifs de celui-ci, et déclarent ces informations, ainsi que leur statut, aux sociétés ou autres entités juridiques. » [20].

De plus, la proposition de règlement confirme l’exemption d’identification du bénéficiaire effectif pour les organismes de droit public au sens de la Directive 2014/24/UE.

Enfin, la recherche des pourcentages de détention, c’est bien ; s’assurer qu’il s’agit bien des personnes ayant le contrôle c’est encore mieux …

Quant aux PPE[21], l’approche par les risques est là encore à privilégier, tous les PPE n’étant pas forcément égaux au regard de leur exposition face à la corruption.

  • Cas spécifique des bénéficiaires d’assurance-vie :
    • Mesures raisonnables à prendre (voire plus selon les risques) des cas où le bénéficiaire est un PPE, au plus tard au moment du versement des prestations ou au moment de la cession, partielle ou totale, du contrat d’assurance.

2.2.3.    Le recours à la sous-traitance sous contrôle (Art. 38 et 39)

Là encore, le contexte se renforce.

Tout d’abord, le recours à des sous-traitants établis dans les pays tiers à risque identifiés par la Commission sera interdit. Cependant, les entités assujetties établies dans l’Union dont les succursales et les filiales sont établies dans ces pays tiers peuvent recourir à ces succursales et filiales lorsque toutes les conditions énoncées au paragraphe 3, points a) à c), sont remplies ; à savoir :

  • L’entité assujettie se fonde sur les informations fournies exclusivement par une entité assujettie qui fait partie du même groupe ;
  • La mise en œuvre effective des obligations liées à la LCB-FT est surveillée au niveau du groupe par l’autorité de surveillance de l’État membre d’origine.

De plus, les tâches suivantes ne peuvent en aucun cas être sous-traitées :

  1. L’approbation de l’évaluation des risques réalisée par l’entité assujettie ;
  2. Les contrôles internes mis en place conformément à l’article 7 (politiques, contrôles et procédures de l’entité qui externalise) ;
  3. L’élaboration et l’approbation des politiques, contrôles et procédures appliquées par l’entité assujettie pour se conformer aux exigences du présent règlement ;
  4. L’attribution d’un profil de risque à un client potentiel et l’établissement d’une relation d’affaires avec ce client ;
  5. La détermination des critères de détection des transactions et activités suspectes ou inhabituelles ;
  6. La déclaration à la CRF d’activités suspectes ou d’informations fondées sur des seuils conformément à l’article.

Lorsqu’une entité assujettie sous-traite une tâche autorisée, elle veille à ce que l’agent ou le prestataire de services externe applique les mesures et procédures qu’elle a adoptées (formalisme écrit, à tout le moins un contrat lorsque le prestataire n’appartient pas à l’établissement concerné). Ce qui supposera bien sûr de faire une revue de l’ensemble des sous-traitants qui traitent des prestations au titre de la LCB-FT afin de s’assurer de la conformité par rapport à ces évolutions.

2.2.4.    Encadrer pour faciliter les échanges au sein d’un Groupe (Art.13)

Pouvoir échanger des informations au sein d’un Groupe sur les clients ou les déclarations est un atout pour améliorer ses dispositifs et éviter des incohérences. Le projet de règlement précise ainsi les situations d’échange d’information :

  • Le KYC, à savoir l’identité et les caractéristiques du client, le(s) bénéficiaire(s) effectif(s)ou de la personne pour le compte de laquelle le client agit ;
  • La nature et l’objet de la relation d’affaires ;
  • Les déclarations de soupçon (communication encadrée en France par le code monétaire et financier).

Des clarifications doivent être apportées sur :

  • Les rôles et responsabilités des entreprises mères qui ne sont pas elles-mêmes des entités assujetties (par exemple le rôle de groupe automobile ou de grande distribution vis-à-vis des banques qu’elles détiennent) ;
  • L’extension des exigences groupe à d’autres structures similaires partageant une propriété, une gestion ou un contrôle de la conformité communs, tels que les réseaux ou partenariats, les GIE.

2.3.   Un renforcement des dispositifs de contrôle à l’égard du traitement des sanctions financières

Les dispositifs en matière de sanctions financières et de gel des avoirs sont d’importance dans des contextes où ces sanctions deviennent significatives ainsi que les enjeux associés. Les assujettis ont depuis longtemps une obligation de résultat et non de moyens.

Cependant, les sanctions régulières qui émaillent la jurisprudence de l’ACPR illustrent que tout n’est pas encore parfait. Le règlement se fait plus précis et contraignant notamment sur la nécessité d’identifier les facteurs qui réduiraient l’efficacité des dispositifs en place ainsi que les risques de contournement de ces dispositifs. Il ne s’agit plus uniquement de s’assurer que les listes sont à jour, intégrées dans les systèmes et que des analyses ont réalisé.

Les dispositifs devront aller plus loin, notamment dans l’anticipation des zones de vulnérabilité et l’élaboration de scénarii pertinents.

2.4.   Des précisions sur les rôles et responsabilités

Si ces évolutions sont déjà intégrées dans les établissements financiers en France (les éléments ci-après ne constituent ainsi pas une évolution), pour l’ensemble des assujettis, l’organisation doit être harmonisée, incluant le cadre de contrôle interne (art. 7) :

  • Nommer un responsable des enjeux de conformité parmi les instances exécutives qui est en charge notamment (Art.9) :
    • De la mise en œuvre des politiques, contrôles et procédures ainsi que du suivi des incidents et dysfonctionnements majeurs ;
    • De faire un état des lieux réguliers sur le dispositif de maitrise en matière LCB-FT à l’organe de direction ;
    • D’élaborer un rapport a minima annuel à l’organe de direction sur la mise en œuvre des politiques et dispositif de contrôles.
  • Nommer un responsable de la conformité, nommé par le conseil d’administration ou l’organe de direction, chargé :
    • De l‘application au quotidien des politiques en matière de LCB-FT ;
    • De veiller à la conformité du dispositif ;
    • De réaliser des reportings réguliers auprès de l’organe exécutif et de surveillance (notamment auprès du Conseil) ;
    • D’identifier et de gérer les situations de conflits d’intérêts.

2.5.   La protection des données personnelles (Art 56)

Le règlement précise les points d’attention au regard des données personnelles.

Dans la mesure où cela est strictement nécessaire aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme, les entités assujetties peuvent traiter les catégories particulières de données à caractère personnel visées à l’article 9.

Les entités assujetties peuvent traiter les données à caractère personnel sous réserve que :

  • Les entités assujetties informent leurs clients ou clients potentiels ;
  • Les données proviennent de sources fiables, sont exactes et actuelles;
  • L’entité assujettie adopte des mesures pour garantir un niveau élevé de sécurité, en particulier en ce qui concerne la confidentialité.

De plus, il convient que l’entité veille à ce que :

  • Ces données à caractère personnel concernent le blanchiment de capitaux, ses infractions sous-jacentes ou le financement du terrorisme ;
  • Des procédures permettant de distinguer, dans le traitement de ces données, les allégations, les enquêtes, les procédures et les condamnations, en tenant compte du droit fondamental à accéder à un tribunal impartial, des droits de la défense et de la présomption d’innocence.

2.6.   Une harmonisation des formats des déclarations de soupçon

L’objectif du règlement est également de faciliter l’harmonisation des déclarations de soupçon auprès des CRF (Cellule de renseignement financier) afin d’amener l’ensemble des assujettis vers les meilleures pratiques européennes.

Les évolutions porteraient ainsi sur :

  • L’harmonisation des formats ;
  • La précision sur les délais de réponse à une demande d’informations soumise par la CRF :
    • Le délai de principe est de 5 jours ;
    • Délai pouvant être réduit à 24 heures selon le caractère urgent de la demande.

2.7.   Conclusion

Qu’il s’agisse des recommandations du GAFI ou de la proposition de règlement, nous sommes principalement dans le domaine de la clarification voire de la précision pour les établissements financiers concernés depuis de nombreuses années par les sujets LCB-FT. Les dispositifs ont muri et s’ils ne sont pas encore parfaits, c’est sans doute moins le fait d’un défaut de réglementation que d’une sensibilité des équipes ou de ressources suffisantes.

La proposition de règlement amènera ainsi principalement des ajustements dans les dispositifs. Les principes essentiels de la LCB-FT demeurent inchangés : l’approche par les risques, l’importance de connaître son client (incluant bien sûr le(s) bénéficiaire(s) effectif(s)) et la nécessaire vigilance restent de mise. Commençons déjà par bien appliquer ce qui est demandé et essayons de développer des réflexes de sécurité par rapport à ces sujets, à l’instar de la ceinture de sécurité en voiture…Quand un bip est émis quand elle n’est pas mise, cela aide à développer des réflexes et à changer ses habitudes !

Annexe – Les principales lignes directrices ABE sur AML depuis 2019
  • ‘The ML/TF Risk Factors Guidelines’ under Articles 17 and 18(4) of Directive (EU) 2015/849 : EBA/GL/2021/02.
  • EBA Guidelines on internal governance under Directive 2013/36/EU : EBA/GL/2021/05
  • Joint EBA and ESMA Guidelines on the assessment of the suitability of members of the
  • management body and key function holders : ESMA35-36-2319 EBA/GL/2021/06.
  • EBA Guidelines on policies and procedures in relation to compliance management and the rôle and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849 : EBA/CP/2021/31.
  • EBA Guidelines on outsourcing arrangements : EBA/GL/2019/02.
  • EBA Guidelines on ICT and security risk management : EBA/GL/2019/04.

 

Annexe – Rappel des axes de renforcement au niveau de l’Europe
  • Une proposition de règlement relatif à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux (ML) et du financement du terrorisme (TF).
  • Une proposition de directive (AMLD6) établissant les mécanismes que les États membres doivent mettre en place pour prévenir l’utilisation du système financier à des fins de blanchiment ou de financement du terrorisme, et abrogeant la directive (UE) 2015/8496.
  • Une proposition de refonte du règlement (UE) 2015/847 relatif aux informations accompagnant les transferts de fonds.
  • Une proposition de création d’une nouvelle autorité européenne chargée de lutter contre le blanchiment de capitaux : Authority for Anti-Money Laundering and Countering the Financing of Terrorism (‘AMLA’ or ‘the Authority’).

À noter également le renforcement du rôle de l’Autorité Bancaire Européenne (ABE) dans la LCB-FT : https://www.eba.europa.eu/sites/default/documents/files/document_library

 

Annexe (pour rappel, extrait de la précédente News letter AFGES)

Élément de base du rapport d’activité (rôle du Compliance officer) :

  • Sur l’évaluation des risques de blanchiment et de financement du terrorisme :
    • Une déclaration explicite indiquant si l’évaluation du risque de blanchiment et de financement du terrorisme à l’échelle de l’entreprise ou une révision de celle-ci, telle que visée à l’article 8, paragraphe 1, de la directive (UE) 2015/849, a été exigée par l’autorité compétente pour l’année de déclaration ;
    • Un résumé des principales conclusions de l’évaluation des risques visée à l’article 8, paragraphe 1, de la directive (UE) 2015/849, lorsqu’une telle mise à jour a été effectuée au cours de l’année écoulée ;
    • Une description de tout changement lié à la méthode utilisée par l’établissement pour évaluer le profil de risque du client individuel de la relation d’affaires en précisant dans quelle mesure elle est alignée sur l’évaluation du risque de blanchiment d’argent et de financement du terrorisme à l’échelle de l’établissement ;
    • La répartition des clients par catégorie de risque et par date d’entrée en relations, données issues des rapports remontés des métiers, y compris le nombre de dossiers non mis à jour ;
    • Un aperçu structuré du travail effectué par le responsable de la conformité en matière de LCB-FT au cours de l’année écoulée, y compris des informations et des données statistiques sur :
      • La nature, le nombre et le montant des transactions inhabituelles détectées ;
      • La nature, le nombre et le montant des transactions inhabituelles effectivement analysées ;
      • La nature, le nombre et le montant des déclarations de transactions ou d’activité suspectes à la CRF (selon les pays où la transaction a eu lieu).
      • Les informations agrégées sur les relations avec la clientèle qui ont été abandonnées clôturées en raison de préoccupations en matière de LBC/FT.
      • Nombre de demandes d’information reçues de la CRF ;
      • Nombre de requêtes judiciaires reçues ;
      • Nombre d’ordonnances exigeant le report de l’exécution d’une transaction ;
      • Nombre de réponses fournies à la CRF et décisions prises à l’égard de ces clients, c’est-à-dire si la relation d’affaires avec ces clients a été bloquée, suspendue, résiliée, etc.
      • Résumé des données statistiques ou des principaux indicateurs de risque relatifs aux risques de LCB-FT, afin de donner une image précise des risques de LCB-FT auxquels l’opérateur du secteur financier est exposé par le biais de ses clients, pays ou zones géographiques, de produits, de services, de transactions ou de canaux de distribution, en tenant compte des lignes directrices révisées de l’ABE sur les facteurs de risque de blanchiment et de financement du terrorisme[22].
    • Sur les politiques et procédures :
      • Informations synthétiques sur les mesures importantes prises et les procédures adoptées au cours de l’année, y compris le suivi des recommandations, des dysfonctionnements et des irrégularités identifiés dans le passé ainsi que des nouveaux problèmes, et irrégularités et les mesures proposées ;
      • La nature et le nombre des actions de contrôle de la conformité entreprises pour évaluer l’application des politiques, contrôles et procédures de LCB-FT de l’établissement ;
      • L’adéquation des outils de surveillance utilisés par l’établissement en matière de LCB-FT.
    • En matière de sensibilisation et de formation :
      • La nature et le montant des activités de formation en matière de LBC/FT, réalisées, planifiées, non finalisées, ainsi que le personnel concerné par ces activités de formation ;
      • Le plan de formation pour l’année prochaine pour évaluer l’adéquation de la formation et de l’enseignement dispensés :
        • Nombre d’heures de formation par type d’employés et par type de département/fonction et pourcentage d’employés ayant suivi la formation ;
        • Date de la participation à un séminaire, titre et durée du séminaire et modalité de diffusion (c’est-à-dire e-learning, en ligne et en face à face) ainsi que le nom des formateurs ;
        • Si la conférence/séminaire a été préparée au sein du secteur financier ou proposé par une organisation ou des consultants externes ; et
        • des informations résumées sur le programme/contenu des conférences/séminaires.
      • Une description de toute autre mesure adoptée par le responsable de la conformité en matière de LCB-FT ;
      • Toute autre information utile sur le fonctionnement de la fonction de responsable de la conformité en matière de LBC/FT et sur les mesures de prévention du LBC/FT que le responsable de la conformité en matière de LBC/FT considère comme pouvant être intéressante à porter à l’attention de l’organe de direction ;
      • Plan d’activités du responsable de la conformité en matière de LBC/FT pour l’année suivante ;
      • Activités de surveillance, y compris les communications à destination de l’établissement, menées par l’autorité compétente, les rapports soumis à l’organe de direction et les rapports de contrôle, les sanctions imposées, ainsi que la manière dont l’établissement s’est acquitté de ses obligations ;
      • L’état d’avancement des mesures correctives, sans préjudice de tout autre rapport périodique qui pourrait être exigé en cas d’activité de surveillance ou de mesures correctives.

 

Annexe – Rappel sur le contenu de la 5ème Directive européenne

La cinquième directive (UE) 2018/843 relative à la lutte contre le blanchiment de capitaux est entrée en vigueur en juin 2018. Les principales composantes portent sur :

  • Amélioration de la transparence notamment en matière de propriété des sociétés et des fiducies/trusts ;
  • Renforcement des contrôles concernant les pays tiers à risque ;
  • Renforcement des dispositifs contre les risques liés aux cartes prépayées et aux monnaies virtuelles ;

Renforcement de la coopération entre les cellules de renseignement financier nationales et favoriser les échanges d’informations entre les autorités de surveillance chargées de la lutte contre le blanchiment des capitaux et la Banque centrale européenne (BCE).

[1] http://www.fatf-gafi.org/ Pour rappel, le GAFI est un organisme intergouvernemental créé en 1989 par les ministres de ses états membres.  Les objectifs du GAFI sont l’élaboration des normes et la promotion de l’efficace application de mesures législatives, réglementaires et opérationnelles en matière de LCB-FT.

[2] Cf News letter AFGES Février 2022 – Point d’étape sur les dispositifs LCB-FT

[3] https://ec.europa.eu/info/publications/210720-anti-money-laundering-countering-financing-terrorism_fr

[4] https://www.cnil.fr/fr/blanchiment-de-capitaux-et-financement-du-terrorisme-la-cnil-et-ses-homologues-sadressent-aux

[5] Notamment un superbe glossaire des acronymes p. 340-343 ainsi que la synthèse des recommandations.

[6]A ce jour, principalement les représentants légaux des associations et le président pour les fonds de dotation, le président, directeur général ou membre du directoire pour les fondations.

[7] Comme le précise le GAFI, les PSAV semblent avoir une bonne compréhension des risques de BC/FT auxquels ils sont spécifiquement exposés (…)Cependant, en raison de leur récent assujettissement, il est encore difficile d’apprécier pleinement l’efficacité de leurs mesures préventives.

[8] Vis-à-vis des OBNL, le GAFI considère que l’approche par les risques réalisée par les autorités de supervision doit être affinée.

[9] « Le ministre de l’Intérieur, Gérald Darmanin, a écrit au ministre de l’Économie, Bruno Le Maire, pour qu’il favorise le «dialogue» entre la Fédération bancaire française (FBF) et les associations musulmanes, après que des mosquées du Rhône ont dénoncé des fermetures de comptes. »(Extrait Figaro 090622)

[10] La mise en œuvre de la Directive (UE) 2015/849 modifiée a généré des divergences d’application au niveau national.

[11] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0421&from=EN : pour voir le rôle et pouvoir de cette nouvelle autorité

[12] https://eur-lex.europa.eu/resource.html?uri=cellar:0a4db7d6-eace-11eb-93a8-01aa75ed71a1.0005.02/DOC_1&format=PDF

[13] En s’appuyant notamment sur les différents documents qui aident à déterminer ces facteurs comme les Orientations révisées de l’Autorité Bancaire Européenne sur les facteurs de risques de BC/FT

[14] Pour rappel, La nature des mesures de vigilance à mettre en œuvre à l’égard de la clientèle repose sur la distinction entre client en relation d’affaires et client occasionnel.

[15] Au sens de l’article 3, point 9), du règlement [insérer la référence – proposition de refonte du règlement (UE) 2015/847 — COM(2021)

[16] Dont les pays de la liste noire du GAFI

[17] Se référer également aux lignes directrices émises par l’ACPR sur l’identification et la vérification de l’identité et la connaissance de la clientèle

[18] Processus défini dans le cadre de l’article R561-13 du CMF en France.

[19] Pour rappel, la tierce introduction ne peut porter que sur la mise en œuvre des obligations :

  • – d’identification et de vérification de l’identité du client et le cas échéant, du bénéficiaire effectif ainsi que, pour les contrats d’assurance sur la vie ou de capitalisation, celle du bénéficiaire de ces contrats et, le cas échéant, du bénéficiaire effectif de ces derniers ;
  • – ainsi que de recueil des éléments de connaissance de la relation d’affaires.

[20] A ne pas confondre avec le « nominee» utilisé dans l’industrie des fonds d’investissement

 [21] Chaque État membre établit et met à jour une liste indiquant les fonctions précises qui, aux termes des dispositions législatives, réglementaires et administratives nationales, sont considérées comme étant des fonctions publiques importantes. De plus, la Commission publie une liste unique (à partir de ces listes) au Journal officiel de l’Union européenne. L’ALBC publie la liste sur son site internet.

[22] EBA Revised Guidelines on ML/TF Risk Factors: EBA/GL/2021/02[:en]The FATF[1] has just issued its evaluation report on the AML/CFT system in France. It is considered positive, i.e. at the level of best practices. Indeed, apart from a few “gaps” that are not considered significant (in particular the scope of financial institutions), the report confirms the quality of the elements put in place at the legislative and supervisory level. This does not mean that money laundering is less common in France than elsewhere; it mainly means that the framework provided to taxpayers allows them to put in place an appropriate and effective system (in the light of our current knowledge). This framework allows us to have reasonable assurance that we will launder less than elsewhere.

At a time when Europe is setting up an ambitious plan around 6 Pillars[2] (priorities), it is interesting to ask whether there is still a long way to go before we comply with the next regulatory developments[3] .

While the projects underway are not in themselves revolutions, the collection of data is becoming sufficiently significant for the CNIL to warn of the need to properly manage the data collected[4] .

We propose firstly to summarise the Gafi recommendations (and yes, everything is not yet perfect…) and secondly to identify the main components of the future AML/CFT regulation.

1.   The gafi report: very good but can still do better

Our aim is not to provide an exhaustive review of the FATF report, which is sufficiently precise and structured to make it easy to read for anyone interested in the details.

Our objective is to highlight the main points for improvement, which will surely one day result in an evolution of the regulation, in order to fully understand the spirit of the system.

Moreover, we strongly recommend reading this report to anyone joining an AML/CFT team: indeed, this report deals with all the structural components of the system[5] , most of which are not the subject of any remarks by the FATF. An excellent way to review your knowledge of what is expected!

1.1.   Points of attention on customer knowledge

The FATF considers the customer due diligence monitoring system to be fully satisfactory. However, there are some areas for improvement:

  • On Politically Exposed Persons (PEPs):
    • Review the scope of persons close to the EPP and in particular his family circle (the current scope is considered too restrictive);
    • Be cautious about the fact that EPPs that have been out of vigilance for more than a year may return to normal vigilance (especially in the case of life insurance policies). Indeed, even if some former EPPs remain in enhanced vigilance, this is not exactly equivalent to the application of additional vigilance measures.
  • Beneficial owners (BE) :
    • The majority of financial institutions seek to identify the EBs of their clients, but focus on capital control and in a few cases only refer to the register of beneficial owners (RBE) to verify the information;
    • With regard to sanctions, the FATF is surprised by the absence or weakness of sanctions in the following cases:
      • Failure to keep records and update information with the RCS ;
      • administrative sanctions for failure to declare intermediary status (loss of voting rights or powers and loss of dividend rights) are neither proportionate nor dissuasive.
    • For associations, foundations and endowments, there is no obligation to identify the EB within the meaning of the FATF[6] .

1.2.   The challenges of bank correspondence

This is again a recurring point of attention.

Correspondent banking relationships within the EU are subject to a risk-based approach but not to systematic enhanced scrutiny.

The FATF considers that this system is restrictive. It therefore calls for the development of a risk-based approach within the EU (and not only outside the EU).

1.3.   Points of attention on geographical areas

France is largely compliant with the requirements for vigilance towards high-risk countries.

The FATF points out that French legislation does not allow the targeting of specific countries that would not be identified either by the FATF or by the European Commission. Moreover, the possibility of limiting business relationships within the framework of enhanced scrutiny could lead to de-research.

1.4.   Points of attention on new entrants

Players such as VSPs[7] (virtual asset servicing providers) benefit from a lighter regime than other financial institutions that are not justified.

This is the case:

  • Obligations to communicate explicitly to the authority their risk assessments;
  • With regard to transfers, while VSPs are aware of their obligations concerning the rules for transfers of virtual assets and indicate that they have put in place the necessary measures to implement them, the accompanying information on the originator and beneficiary with the transfer, known as the “Travel Rule”, poses a technological challenge and clarifications from national and European authorities are awaited.

With regard to designated non-financial businesses and professions (DNFBPs), risk-based AML/CFT supervision is still recent and insufficient for some sectors, notably for real estate agents and notaries who are involved in a real estate sector exposed to significant money laundering risks.

1.5.   The challenges faced by groups in relation to their foreign entity(ies)

Here again, France complies with the expectations, particularly in terms of procedures and internal control.

However, the FATF calls for vigilance on the part of parent companies in relation to their subsidiaries and branches in the EU/EEA. Indeed, in this case, they ensure that the entities comply with local regulations but are not obliged to ensure that these regulations are as restrictive as the regulations in France.

1.6.   De-risking issues

 

The issue is again addressed by the FATF: some financial institutions tend to avoid risks instead of mitigating them (e.g. with regard to PSAN clients or non-profit organisations – NPOs[8] ).

With regard to non-profit organisations, these same organisations have complained that they have difficulty accessing the banking system because of an exclusion linked to the purpose of the organisation. This point echoes recent complaints from associations about the behaviour of certain institutions[9] .

2.   The main components of the next regulation

While the FATF report on France is satisfactory, Europe is moving forward to harmonise arrangements by regulating (which will facilitate the supervision of large group entities that are located within the EU, as the regulations should be the same).

Indeed, the advantage of a European regulation is to harmonise the schemes[10] and thus reduce cross-border opportunities. This regulation also extends the scope of those subject to the regulation to new players, including providers of services on crypto-assets and providers of participatory finance services other than those governed by Regulation (EU) 2020/1503.

The draft regulation will be supplemented by technical standards drafted by the Anti-Money Laundering and Counter-Terrorist Financing Authority (AML/CFT)[11] which will clarify certain issues, such as thresholds for occasional transactions and criteria for identifying related transactions.

Based on the draft regulation[12] , what will be the main impacts on devices?

2.1.   Strengthening the risk-based approach

The regulation is even more precise on the elements to be taken into account that can influence the occurrence of risks. The following points are concerned:

2.1.1.    An increase in the granularity of the risk classification (Art.8)

The criteria for adapting the level of vigilance are increasing in order to gain a better understanding of the risk factors relating to customers, products, etc. While these factors are generally taken into account in the customer risk profile[13] , the Regulation systematises the refinement of the risk-based approach.

Classification, a document at the heart of this approach, will need to be given specific attention by governance bodies, as classification is an expression of the risk appetite in AML/CFT matters (or, at the very least, the trade-offs that are tolerated by the organisation).

2.1.2.    The basic rules of vigilance

Reporting entities shall apply customer due diligence measures in the following cases:

  1. When entering into a business relationship ;
  2. Where they are associated with or occasionally engage in a transaction of EUR 10 000 or more, or its equivalent in national currency, whether executed in a single transaction or through a series of linked transactions, or a lower threshold set ;
  3. Where BC-FT is suspected, regardless of any applicable thresholds, exemptions or derogations;
  4. Where there are doubts about the veracity or relevance of previously obtained data for the purpose of identifying a customer.

Where a reporting entity is unable to comply with the measures set out, it shall refrain from executing a transaction or entering into a business relationship, and shall terminate the business relationship and consider submitting a suspicious transaction report about the customer to the FIU in accordance with Article 50 (Art. 17).

No change in the economic justification of customer claims (Art. 20) :

Identification of the purpose and intended nature of a business relationship or transaction concluded on an occasional basis :

  • The purpose of the proposed account, transaction or business relationship ;
  • The estimated amount and economic justification of the proposed transactions or activities;
  • The origin of the funds ;
  • The destination of the funds.

2.1.3.    Thresholds on certain types of customers

For occasional customers[14] , the threshold will be harmonised:

  • Harmonisation of vigilance thresholds in the context of occasional customers :
    • The threshold will be reduced to EUR 10 000 (which will not make much difference for most institutions in France in particular).

In addition, customer due diligence will have to be in place when the institution (including PSANs) occasionally initiates or executes a transaction that constitutes a transfer of funds[15] or a transfer of crypto-assets within the meaning of Article 3(10) of the Regulation, in an amount exceeding EUR 1 000 or its equivalent in national currency (Art 15).

Let us recall the rules in France on occasional customers:

The regulations do not require the implementation of due diligence measures with regard to the occasional customer and, where applicable, its beneficial owner… except in the following cases (Art. L 561-5 of the CMF):

  • In case of suspicion of BC-FT (Art. L. 561-26 of the CMF) ;
  • Or, when the transaction meets one of the restrictively listed conditions (II of Art. R. 561-10 of the CMF):
    • A transfer of funds, regardless of the amount;
    • A manual foreign exchange transaction of an amount > €1,000 or linked foreign exchange transactions of an aggregate amount > €1,000 or any remote foreign exchange transaction, regardless of its amount.

2.1.4.    Third countries at risk in terms of AML/CFT

The Regulation proposes to distinguish 3 categories of risky third countries, consistent with the FATF approach:

  • Third countries with “significant strategic deficiencies” in their AML/CFT systems, which will be referred to as “high-risk third countries”[16] ;
  • Third countries with “compliance weaknesses” in their AML/CFT systems;
  • Third countries pose a specific and serious threat to the EU financial system and the proper functioning of the internal market.

Third countries with compliance weaknesses in their AML/CFT systems, defined as being subject to “enhanced scrutiny” by the FATF, will in principle be identified by the Commission and subject to country-specific enhanced due diligence measures proportionate to the risks.

2.2.   Strengthening customer knowledge and updates

2.2.1.    A strengthening of the quality of the files[17]

In the case of a customer with reduced vigilance, the files relating to customer knowledge and their verification must be completed within 30 days of the date on which the relationship was established.

In addition, customer files should not be updated beyond 5 years (which may have an impact for some large banking networks).

Finally, in the context of the third party introduction, the transmission of information[18] on the customer must be made within 5 working days of the start of the relationship[19] .

2.2.2.    Still and always issues of knowledge of beneficial owners and PEPs

The aim is above all to harmonise the arrangements at European level.

The subject is important and the regulation must be precise on sensitive issues such as the knowledge of beneficial owner(s) or Politically Exposed Persons (PEPs).

No major changes in this area.

However, it is worth noting the scope of the actors who will be required to disclose information on beneficial owners:

  • Legal entities established outside the Union and to express trusts or similar legal arrangements administered outside the Union as long as they operate in the EU:
    • “Information on the beneficial owners of legal entities incorporated outside the Union or on the beneficial owners of express trusts or similar legal arrangements administered outside the Union shall be recorded in the central register (at least in one of the Member States’ registers if these entities operate in several countries).
  • To nominee shareholders and nominee directors:
    • “Nominee shareholders and nominee directors of companies or other legal entities shall maintain adequate, accurate and timely information on the identity of their principal and the beneficial owner(s) of their principal and shall report this information, and their status, to companies or other legal entities.” [20].

In addition, the proposed Regulation confirms the exemption from identification of the beneficial owner for bodies governed by public law within the meaning of Directive 2014/24/EU.

Finally, researching ownership percentages is good; making sure that it is the people in control is even better…

For PEPs[21] , the risk-based approach is again to be preferred, as not all PEPs are necessarily equal in terms of their exposure to corruption.

  • Specific case of life insurance beneficiaries :
    • Reasonable measures to be taken (or more depending on the risk) in cases where the beneficiary is a PEP, at the latest at the time of payment of benefits or at the time of partial or total assignment of the insurance contract.

2.2.3.    Outsourcing should be under control (Art. 38 and 39)

Here again, the context is getting stronger.

Firstly, the use of subcontractors established in the risk third countries identified by the Commission will be prohibited. However, reporting entities established in the EU with branches and subsidiaries established in those third countries may use those branches and subsidiaries where all the conditions set out in paragraph 3(a) to (c) are met; namely:

  • The reporting entity relies on information provided exclusively by a reporting entity that is part of the same group;
  • The effective implementation of the AML/CFT obligations is monitored at group level by the home Member State supervisor.

In addition, the following tasks may not be subcontracted under any circumstances:

  1. Approval of the reporting entity’s risk assessment ;
  2. The internal controls established in accordance with Article 7 (policies, controls and procedures of the outsourcing entity) ;
  3. The development and approval of policies, controls and procedures applied by the reporting entity to comply with the requirements of this Regulation;
  4. Assigning a risk profile to a potential client and establishing a business relationship with that client;
  5. Determining the criteria for detecting suspicious or unusual transactions and activities;
  6. Reporting suspicious activities or threshold-based information to the FIU in accordance with Article.

When a reporting entity subcontracts an authorised task, it shall ensure that the external agent or service provider applies the measures and procedures it has adopted (written form, at least a contract when the service provider does not belong to the institution concerned). This will, of course, require a review of all subcontractors who provide AML/CFT services in order to ensure compliance with these developments.

2.2.4.    Framework to facilitate exchanges within a Group (Art.13)

Being able to exchange information within a group on clients or declarations is an asset for improving its systems and avoiding inconsistencies. The draft regulation thus specifies the situations in which information may be exchanged:

  • KYC, i.e. the identity and characteristics of the customer, the beneficial owner(s) or the person on whose behalf the customer is acting;
  • The nature and purpose of the business relationship ;
  • Declarations of suspicion (communication regulated in France by the Monetary and Financial Code).

Clarification is needed on :

  • The roles and responsibilities of parent companies that are not themselves reporting entities (e.g. the role of the automotive or retail groups vis-à-vis the banks they own);
  • The extension of group requirements to other similar structures sharing common ownership, management or compliance monitoring, such as networks or partnerships, EIGs.

2.3.   A strengthening of the control mechanisms with regard to the processing of financial sanctions

Financial sanctions and asset freezing arrangements are important in contexts where these sanctions are becoming significant and the stakes involved are high. Taxpayers have long had an obligation of result, not of means.

However, the regular sanctions that have been imposed by the ACPR show that all is not yet perfect. The regulation is becoming more precise and restrictive, particularly with regard to the need to identify the factors that would reduce the effectiveness of the systems in place and the risks of circumventing these systems. It is no longer just a matter of ensuring that the lists are up to date, integrated into the systems and that analyses are carried out.

The systems will have to go further, particularly in anticipating areas of vulnerability and developing relevant scenarios.

2.4.   Clarification of roles and responsibilities

While these developments have already been integrated into the financial institutions in France (the elements below do not constitute a change), for all reporting entities, the organisation must be harmonised, including the internal control framework (Article 7):

  • Appoint a compliance officer from among the executive bodies who is responsible for, inter alia (Art.9):
    • Implementation of policies, controls and procedures and monitoring of major incidents and malfunctions;
    • To provide the management body with a regular update on the AML/CFT control system;
    • Prepare a minimum annual report to the management body on the implementation of policies and controls.
  • Appoint a compliance officer, appointed by the board of directors or the management body, who is responsible for :
    • The day-to-day application of AML/CFT policies ;
    • Ensure compliance of the device;
    • Regular reporting to the executive and supervisory bodies (including the Board);
    • Identify and manage conflict of interest situations.

2.5.   Protection of personal data (Art 56)

The Regulation specifies the points of attention with regard to personal data.

To the extent strictly necessary for the prevention of money laundering and terrorist financing, reporting entities may process the special categories of personal data referred to in Article 9.

Reporting entities may process personal data provided that :

  • Reporting entities shall inform their customers or potential customers ;
  • The data are from reliable sources, are accurate and up-to-date;
  • The reporting entity shall adopt measures to ensure a high level of security, in particular with regard to confidentiality.

In addition, the entity should ensure that :

  • This personal data concerns money laundering, its underlying offences or terrorist financing;
  • Procedures to distinguish between allegations, investigations, proceedings and convictions in the processing of such data, taking into account the fundamental right of access to an impartial tribunal, the rights of the defence and the presumption of innocence.

2.6.   Harmonisation of the formats for suspicious transaction reports

The aim of the regulation is also to facilitate the harmonisation of suspicious transaction reports to the FIU (Financial Intelligence Unit) in order to bring all reporting entities into line with European best practice.

The developments would thus concern :

  • Harmonisation of formats ;
  • Clarification of the time limits for responding to a request for information submitted by the FIU :
    • In principle, the deadline is 5 days;
    • The deadline can be reduced to 24 hours depending on the urgency of the request.

2.7.   Conclusion

Whether we are talking about the FATF recommendations or the proposed regulation, we are mainly in the area of clarification or even precision for financial institutions that have been involved in AML/CFT matters for many years. The systems have matured and if they are not yet perfect, it is probably less due to a lack of regulation than to the sensitivity of the teams or sufficient resources.

The proposed regulation will thus mainly lead to adjustments in the arrangements. The essential principles of AML/CFT remain unchanged: the risk-based approach, the importance of knowing one’s customer (including of course the beneficial owner(s)) and the need for vigilance. Let’s start by applying what is required and try to develop safety reflexes in relation to these subjects, just like the seatbelt in the car… When a beep is emitted when it is not put on, it helps to develop reflexes and to change habits!

Annex – The main EBA guidelines on AML since 2019
  • The ML/TF Risk Factors Guidelines’ under Articles 17 and 18(4) of Directive (EU) 2015/849 : EBA/GL/2021/02.
  • EBA Guidelines on internal governance under Directive 2013/36/EU: EBA/GL/2021/05
  • Joint EBA and ESMA Guidelines on the assessment of the suitability of members of the
  • management body and key function holders: ESMA35-36-2319 EBA/GL/2021/06.
  • EBA Guidelines on policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849: EBA/CP/2021/31.
  • EBA Guidelines on outsourcing arrangements : EBA/GL/2019/02.
  • EBA Guidelines on ICT and security risk management : EBA/GL/2019/04.
Annex – Reminder of the axes of reinforcement at European level
  • A proposal for a Regulation on the prevention of the use of the financial system for the purpose of money laundering (ML) and terrorist financing (TF).
  • A proposal for a Directive (AMLD6) laying down mechanisms for Member States to prevent the use of the financial system for money laundering or terrorist financing purposes and repealing Directive (EU) 2015/8496.
  • A proposal to recast Regulation (EU) 2015/847 on information accompanying transfers of funds.
  • A proposal to create a new European authority to combat money laundering: Authority for Anti-Money Laundering and Countering the Financing of Terrorism (‘AMLA’ or ‘the Authority’).

Also noteworthy is the strengthening of the role of the European Banking Authority (EBA) in AML/CFT: https://www.eba.europa.eu/sites/default/documents/files/document_library

 

Annex (as a reminder, extract from the previous AFGES News letter)

Basic element of the activity report (role of the Compliance Officer) :

  • On the assessment of money laundering and terrorist financing risks :
    • An explicit statement as to whether the business-wide ML/TF risk assessment or a review thereof, as referred to in Article 8(1) of Directive (EU) 2015/849, has been required by the competent authority for the reporting year;
    • A summary of the main conclusions of the risk assessment referred to in Article 8(1) of Directive (EU) 2015/849, where such an update has been carried out in the past year;
    • A description of any changes in the institution’s methodology for assessing the risk profile of the individual customer of the business relationship, including the extent to which it is aligned with the institution-wide assessment of money laundering and terrorist financing risk;
    • The distribution of clients by risk category and date of entry into relations, data from the reports submitted by the business lines, including the number of files not updated;
    • A structured overview of the work carried out by the AML/CFT compliance officer during the past year, including information and statistical data on :
      • The nature, number and amount of unusual transactions detected;
      • The nature, number and amount of unusual transactions actually analysed;
      • The nature, number and amount of suspicious transaction or activity reports to the FIU (depending on the country where the transaction took place).
      • Aggregate information on customer relationships that have been discontinued closed due to AML/CFT concerns.
      • Number of information requests received from the FIU ;
      • Number of court applications received ;
      • Number of orders requiring postponement of the execution of a transaction ;
      • Number of responses provided to the FIU and decisions taken in relation to these clients, i.e. whether the business relationship with these clients has been blocked, suspended, terminated, etc.
      • Summary of statistical data or key risk indicators relating to AML/CFT risks, in order to give an accurate picture of the AML/CFT risks to which the financial sector operator is exposed through its customers, countries or geographical areas, products, services, transactions or distribution channels, taking into account the revised EBA guidelines on money laundering and terrorist financing risk factors[22] .
    • On policies and procedures :
      • Summary information on significant measures taken and procedures adopted during the year, including follow-up of recommendations, malfunctions and irregularities identified in the past as well as new problems and irregularities and proposed measures;
      • The nature and number of compliance monitoring actions undertaken to assess the application of the institution’s AML/CFT policies, controls and procedures;
      • The adequacy of the AML/CFT monitoring tools used by the institution.
    • In the area of awareness raising and training :
      • The nature and amount of AML/CFT training activities carried out, planned, not finalised, and the personnel involved in these training activities;
      • The training plan for the coming year to assess the adequacy of the training and education provided:
        • Number of hours of training per type of employee and per type of department/function and percentage of employees who have received training ;
        • Date of participation in a seminar, title and duration of the seminar and delivery mode (i.e. e-learning, online and face-to-face) as well as names of trainers;
        • Whether the conference/seminar was prepared within the financial sector or delivered by an external organisation or consultants; and
        • summary information on the programme/content of the conferences/seminars.
      • A description of any other measures adopted by the compliance officer in relation to AML/CFT;
      • Any other relevant information on the functioning of the AML/CFT compliance officer function and on AML/CFT prevention measures that the AML/CFT compliance officer considers may be of interest to bring to the attention of the management body;
      • AML/CFT Compliance Officer’s Business Plan for the following year;
      • Supervisory activities, including communications to the institution, by the competent authority, reports to the management body and monitoring reports, sanctions imposed, and the manner in which the institution has fulfilled its obligations;
      • The status of corrective measures, without prejudice to any other periodic reports that may be required in the case of monitoring or corrective measures.

 

Annex – Reminder of the content of the 5th European Directive

The Fifth Anti-Money Laundering Directive (EU) 2018/843 entered into force in June 2018. The main components relate to:

  • Improving transparency, particularly in relation to ownership of companies and trusts;
  • Strengthening controls on third countries at risk ;
  • Strengthening of measures against the risks associated with prepaid cards and virtual currencies ;

Strengthen cooperation between national financial intelligence units and promote the exchange of information between anti-money laundering supervisors and the European Central Bank (ECB).

[1] http://www.fatf-gafi.org/ As a reminder, the FATF is an intergovernmental body created in 1989 by the ministers of its member states.  The objectives of the FATF are to develop standards and promote the effective implementation of legislative, regulatory and operational measures relating to AML/CFT.

[2] See AFGES News letter February 2022 – Update on AML/CFT measures

[3] https://ec.europa.eu/info/publications/210720-anti-money-laundering-countering-financing-terrorism_fr

[4] https://www.cnil.fr/fr/blanchiment-de-capitaux-et-financement-du-terrorisme-la-cnil-et-ses-homologues-sadressent-aux

[5] This includes a superb glossary of acronyms on pp. 340-343 as well as a summary of the recommendations.

[6]To date, mainly the legal representatives of associations and the president for endowment funds, the president, general manager or board member for foundations.

[7] As stated by the FATF, VSPs appear to have a good understanding of the ML/FT risks to which they are specifically exposed (…) However, due to their recent subjection, it is still difficult to fully assess the effectiveness of their preventive measures.

[8] With regard to NPOs, the FATF considers that the risk-based approach taken by supervisory authorities needs to be refined.

[9] “The interior minister, Gérald Darmanin, has written to the economy minister, Bruno Le Maire, asking him to promote “dialogue” between the French banking federation (FBF) and Muslim associations, after mosques in the Rhône region denounced account closures.”(Extract Figaro 090622)

[10] The implementation of the amended Directive (EU) 2015/849 has led to divergences in application at national level.

[11] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0421&from=EN : to see the role and power of this new authority

[12] https://eur-lex.europa.eu/resource.html?uri=cellar:0a4db7d6-eace-11eb-93a8-01aa75ed71a1.0005.02/DOC_1&format=PDF

[13] Relying in particular on the various documents that help determine these factors, such as the European Banking Authority’s revised Guidance on CB/FT risk factors

[14] As a reminder, the nature of the due diligence measures to be implemented with regard to customers is based on the distinction between customers in a business relationship and occasional customers.

[15] Within the meaning of Article 3(9) of Regulation (EU) 2015/847 – COM(2021)

[16] Including FATF blacklisted countries

[17] Refer also to the guidelines issued by the ACPR on identification and verification of identity and knowledge of customers

[18] Process defined under Article R561-13 of the CMF in France.

[19] As a reminder, the third party introduction can only relate to the implementation of the obligations:

– identification and verification of the identity of the customer and, where applicable, the beneficial owner

and, in the case of life insurance or capitalisation contracts, that of the beneficiary of such contracts.

contracts and, where applicable, the beneficial owner of the latter;

– as well as the collection of knowledge of the business relationship.

[20] Not to be confused with the “nominee” used in the investment fund industry

[21] Each Member State shall draw up and update a list indicating the precise functions which, under national laws, regulations and administrative provisions, are considered to be important public functions. In addition, the Commission shall publish a single list (from these lists) in the Official Journal of the European Union. The ALBC publishes the list on its website.

[22] EBA Revised Guidelines on ML/TF Risk Factors: EBA/GL/2021/02[:]

Restons en contact !

Abonnez- vous à notre newsletter pour recevoir les articles d'analyse de nos experts et les actualités de nos formations.

Afges est présent à l’international

Visitez le site correspondant à votre zone géographique.

Luxembourg
Maroc
Afrique
Mentions légales
Politique de confidentialité
Gestion des cookies
Copyright © 2023 Afges

    Merci de remplir les champs suivants afin de vous contacter au plus tôt.