index

Préambule

index

Préambule
PARTIE 2

Contact us

Tel: +352 46 36 60-1

Email: mail@abbl.lu

PARTIE 2 - CHAPITRE 2

LES OBLIGATIONS A L’EGARD DE LA CLIENTÈLE

« Il devrait être interdit aux institutions financières de tenir des comptes anonymes et des comptes sous des noms manifestement fictifs ». Ainsi, le professionnel est obligé de prendre des mesures de vigilance à l’égard de la clientèle dans certaines situations clairement définies, notamment :  

(i) l’établissement de relations d’affaires

(ii) l’exécution « d’opérations occasionnelles » (sous conditions)

(iii)  la suspicion de blanchiment ou de financement du terrorisme

(iv) un doute sur « la véracité ou de la pertinence des données d’identification du client précédemment obtenues ».

Le professionnel identifie et vérifie en particulier l’identité de son client, celle du bénéficiaire effectif en ce inclus des personnes morales et des constructions juridiques, obtient des informations sur l’objet et la nature envisagée de la relation d’affaires et exerce une vigilance constante à l’égard de cette relation. 

L’opération d’identification consiste à disposer du nom et de l’identité du client. L’identification peut ainsi se faire par le fait de compléter un formulaire de demande d’entrée en relation d’affaires et d’y indiquer le numéro d’un document d’identité.

L’opération de vérification quant à elle consiste à faire le lien avec la réalité en s’assurant que cette identité se rapporte effectivement à la personne avec laquelle on traite, que cette personne existe réellement et que les documents, données et informations sont respectivement fiables et probants.

EN QUOI CONSISTE L’OBLIGATION DE VIGILANCE ?

« Les mesures de vigilance à appliquer à l’égard de la clientèle doivent comprendre les mesures suivantes :

  • L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations de source fiable et indépendante y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées;
  • L’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, à l’aide des informations ou données pertinentes obtenues d’une source fiable et indépendante, de telle manière que le professionnel ait l’assurance de connaître ledit bénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client (…) ;
  • L’évaluation et la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires ;
  • L’exercice d’une vigilance constante quant à la relation d’affaires, notamment en examinant les transactions conclues pendant toute cette relation d’affaires et, si nécessaire, sur l’origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu’a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en s’assurant que les documents, données ou informations obtenus dans l’exercice du devoir de vigilance à l’égard de la clientèle restent à jour et pertinents. A cette fin, les professionnels examinent les éléments existants, et ceci en particulier pour les catégories de clients présentant des risques plus élevés ».

Section 1. Mesures de vigilance à l’égard de la clientèle

QUAND EXERCER LA VIGILANCE ?

« Les professionnels sont obligés d’appliquer des mesures de vigilance à l’égard de leur clientèle dans les cas suivants :
a) Lorsqu’ils nouent une relation d’affaires 
b) Lorsqu’ils exécutent, à titre occasionnel, une transaction :

  1. d’un montant égal ou supérieur à 15.000 euros, que cette transaction soit exécutée en une seule ou en plusieurs opérations qui semblent être liées ; ou
  2. constituant un transfert de fonds au sens de l’article 3, point 9) du règlement (UE) 2015/847 (…) supérieur à 1.000 euros.

« Le seuil de 1.000 euros (…) est également applicable aux opérations occasionnelles effectuées par les prestataires de services d’actifs virtuels ».

Il n’existe pas de définition de « transaction conclue à titre occasionnel » ou de « client occasionnel » en droit luxembourgeois. 

QUE FAIRE ?

L’ABBL préconise de se référer aux définitions suivantes :

« Le client occasionnel est le client de passage qui sollicite l’intervention d’un organisme financier pour la réalisation d’une opération isolée ou de plusieurs opérations présentant un lien entre elles (…) ». 

«  (…) lorsqu’une personne remet à un organisme financier des espèces pour les verser sur le compte d’un des clients de ce dernier et qu’elle n’a pas été mandatée par ce client pour agir sur son compte, elle est alors considérée comme un client occasionnel. L’organisme identifie et vérifie son identité, sauf s’il est par ailleurs d’ores et déjà en relation d’affaires avec cette personne ».

« (…) est considérée comme un client occasionnel toute personne qui s’adresse à (un professionnel assujetti) dans le but exclusif de préparer ou de réaliser une opération ponctuelle ou d’être assistée dans la préparation ou la réalisation d’une telle opération, que celle-ci soit réalisée en une seule opération ou en plusieurs opérations apparaissant comme liées entre elles ».

Le professionnel effectue les mesures de vigilance qui s’imposent à l’égard du « client occasionnel » ou du client  exécutant une transaction à titre occasionnel selon le(s) risque(s) identifiés.

(…)

c) Lorsqu’il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables
d) Lorsqu’il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l’identification d’un client ».

Les professionnels sont tenus d’appliquer les procédures de vigilance à l’égard de leur clientèle non seulement à tous leurs nouveaux clients mais aussi, « aux moments opportuns », à la clientèle existante en fonction de leur appréciation des risques, en tenant compte de l’existence des procédures de vigilance relatives à la clientèle antérieures et du moment où elles ont été mises en œuvre, ou lorsque les éléments pertinents de la situation d’un client changent ou lorsque le professionnel, au cours de l’année civile considérée, est tenu, en raison d’une obligation légale, de contacter le client afin de réexaminer toute information pertinente en rapport avec le ou les bénéficiaires effectifs ou si cette obligation a incombé au professionnel en application de la loi modifiée du 18 décembre 2015 relative à la Norme commune de déclaration (NCD) ».

La définition de « moments opportuns en fonction de l’appréciation des risques » est donnée dans le Règlement grand-ducal du 1er février 2010 tel que modifié.

« Il s’agit notamment d’une des situations suivantes :

« – une transaction significative intervient ;

-les normes relatives aux documents d’identification des clients changent substantiellement ;

-en matière d’activité bancaire, un changement important se produit dans la façon dont le compte d’un client fonctionne ;

-le professionnel s’aperçoit qu’il ne dispose pas d’informations adéquates sur un client.

Les professionnels doivent être en mesure de prouver aux autorités de contrôle ou aux organismes d’autorégulation que l’étendue et la fréquence des mesures de vigilance à l’égard de la clientèle sont appropriées au vu des risques de blanchiment et de financement du terrorisme ».

 

Sous-section 1. Processus d’acceptation

1. Politique d’acceptation du nouveau client

La notion d’entrée en contact avec un client vise toutes formes possibles de contact, y compris les entretiens qui ont lieu dans les locaux de la banque, les entrées en contact par voie postale, par entretien téléphonique ou par voie électronique (Internet par exemple). 

Les simples demandes de renseignement, sans suite donnée par le prospect, ne sont pas à considérer comme une entrée en contact.

En revanche, la phase précontractuelle, qui débute par un échange d’informations et qui se définit par un début de négociation sur les conditions d’une entrée en relation, est à définir comme « entrée en contact ».

1.1  Mise en œuvre de procédures appropriées

« Les professionnels arrêtent et mettent en œuvre une politique d’acceptation des clients appropriée aux activités qu’ils exercent, permettant de soumettre l’entrée en relation d’affaires avec les clients à une identification, une évaluation et une compréhension préalable des risques (…) ».

La procédure d’acceptation des clients vient concrètement matérialiser l’analyse des facteurs de risques effectuée au préalable par le professionnel puisque les risques ayant trait à la relation d’affaires ou à la transaction aboutiront (ou non) à la conclusion de la relation d’affaire/transaction envisagée. 

1.2 Caractère préalable de l’identification et de la vérification de l’identité

Le professionnel formalise la procédure d’identification des prospects/clients (personnes physiques/morales) dans ses documents « KYC » / « Know your customer ». 

L’identification du client/BE ne représente qu’une partie du « KYC » qui contient de nombreuses informations complémentaires, cruciales pour évaluer les risques en présence et donner suite, le cas échéant, à l’entrée en relation d’affaires. 

« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires.  Lorsqu’ils nouent une nouvelle relation d’affaires avec une société ou une autre entité juridique, une fiducie, un trust ou une construction juridique présentant une structure ou des fonctions similaires à celles d’un trust pour lesquels des informations sur les bénéficiaires effectifs doivent être enregistrées en vertu de l’article 30 ou 31 de la directive (UE) 2015/849, les professionnels recueillent la preuve de l’enregistrement ou un extrait du registre ».

« La vérification de l’identité du client et du bénéficiaire effectif doit avoir lieu avant l’établissement d’une relation d’affaires ou l’exécution de la transaction ».

« Toutefois la vérification de l’identité du client et du bénéficiaire effectif peut avoir lieu durant l’établissement d’une relation d’affaires s’il est nécessaire de ne pas interrompre l’exercice normal des activités et lorsqu’il y a un faible risque de blanchiment ou de financement du terrorisme. Dans de telles situations, ces mesures sont prises le plus tôt possible après le premier contact et les professionnels prennent des mesures pour gérer efficacement le risque de blanchiment et de financement du terrorisme ».

« (…) les professionnels peuvent entreprendre une relation d’affaires, ouvrir un compte client ou effectuer une transaction pour un client occasionnel avant ou pendant que l’identité du client et du bénéficiaire effectif est vérifiée (…) pour autant que les conditions suivantes soient réunies:

  • le risque de blanchiment et de financement du terrorisme est faible et efficacement géré ;
  • il est nécessaire de ne pas interrompre le déroulement normal des affaires ;
  • la vérification de l’identité est effectuée dans les plus brefs délais après le premier contact avec le client. L’impossibilité de vérifier l’identité du client et du bénéficiaire effectif dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôleaux fins requises
  • des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification

(…)»

« Il pourrait être permis d’achever les obligations de vérification après l’établissement de la relation d’affaires, parce qu’il est essentiel de ne pas interrompre le déroulement normal des affaires », par ex. pour:

  • « des opérations n’impliquant pas la présence physique des parties
  • des opérations sur des valeurs mobilières. Dans le secteur des valeurs mobilières, les sociétés et intermédiaires peuvent être dans l’obligation d’exécuter des opérations très rapidement, aux conditions du marché valables au moment où le client les contacte, et la réalisation de l’opération peut être nécessaire avant que la vérification de l’identité ne soit terminée ».

Selon le GAFI, la vérification de l’identité d’un client personne physique pourrait être effectuée durant la relation d’affaires seulement si celui-ci présente un faible risque de blanchiment et que le professionnel estime que le service/la transaction requis(e) correspond à son profil d’investissement/ de risque en accord avec les renseignements préalablement fournis.

La logique reste la même en présence d’une société en formation dans le cadre d’une ouverture de compte. 

1.3 Le Comité d’acceptation ou « autorisation écrite d’un supérieur ou organe spécifiquement habilité »

« (…) L’acceptation d’un nouveau client doit être soumise pour autorisation écrite à un supérieur ou à un organe du professionnel spécifiquement habilité à cet effet en prévoyant un niveau hiérarchique de décision adéquat ainsi que, le cas échéant, pour les clients présentant un niveau de risque plus élevé, au moins l’intervention systématique du responsable du contrôle».

« L’acceptation d’un nouveau client présentant un faible risque en matière de BC/FT, suivant l’approche fondée sur les risques telle que mise en place par le professionnel, peut être effectuée sur base d’un processus d’acceptation automatisé n’impliquant pas l’intervention d’une personne physique du côté du professionnel, de manière à constituer une alternative efficace et fiable à la validation par une personne physique du professionnel.

Ce processus doit avoir été configuré et testé préalablement et revu régulièrement par le professionnel de manière à analyser la robustesse de celui-ci. Ce processus doit être en ligne avec les politiques et procédures LBC/FT du professionnel et des instructions à émettre par la CSSF ».

Conformément à une pratique courante, l’examen par le biais d’un comité dit d’entrée en relation (ou « comité d’acceptation ») est recommandé particulièrement dans certains cas nécessitant l’autorisation d’un dirigeant, mais aussi selon la nature des relations ou des personnes concernées. Le comité d’entrée en relation n’est pas nécessairement saisi pour toutes les ouvertures de compte, mais au moins pour celles répondant à certains critères, notamment en fonction du risque. La détermination du niveau de risque devrait notamment prendre en compte les facteurs de risques repris supra, partie II, chapitre premier (« identification et évaluation des risques ») du Vade-Mecum.

Il est recommandé que la responsabilité de l’entrée en relation ne repose pas sur une seule personne, et que le comité d’entrée en relation soit composé de personnes provenant de différents services du professionnel (par exemple direction générale, direction commerciale, service juridique, Compliance officer, etc.). 

Concernant les clients à risque, les exigences en matière de documents probants, notamment quant à l’origine des fonds, sont plus élevées. La quantité et la qualité des informations (pièces justificatives) requises sur le client ainsi que sur le BE sont également d’un niveau élevé.

Pour les clients qui présentent un faible risque en matière de blanchiment, le règlement CSSF N°20-05 du 14 août 2020 introduit la possibilité de recourir à un système d’acceptation automatisé ne requérant pas l’intervention humaine. Ceci vient formaliser une pratique de place, à tout le moins encourager le dispositif lorsque le risque de blanchiment est faible et compte tenu de la digitalisation accrue des services.

1.4  Questionnaire d’entrée en relation d’affaires

« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires ». 

« La politique d’acceptation des clients doit également prévoir les procédures à suivre lors d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’une infraction sous-jacente associée ou de financement du terrorisme en cas de non-aboutissement d’une entrée en contact avec un client potentiel. Les raisons d’un refus de la part du client ou du professionnel de nouer une relation d’affaires ou d’effectuer une transaction doivent être documentées et conservées (selon les modalités du règlement CSSF n°12-02) et ce, même si le refus de la part du professionnel ne découle pas de la constatation d’un indice de blanchiment ou de financement du terrorisme ».

2. Identification des clients et vérification de leur identité

L’identification du client et la vérification de son identité s’effectuent sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) » ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

2.1 Le client « personne physique »

2.1.1 Le titulaire

« Aux fins de l’identification des clients conformément à l’article 3 paragraphe 2, alinéa 1,  point a)  et alinéa 2 de la Loi, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes:

En ce qui concerne les clients qui sont des personnes physiques:

  • nom(s) et prénom(s);
  • lieu et date de naissance ;
  • nationalité(s);
  • adresse postale complète de la résidence principale du client ;
  • le cas échéant, le numéro d’identification national officiel ».

« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».

Vérification de l’identité du client personne physique

(1) « La vérification de l’identité, au sens de l’article 3 paragraphe 2, alinéa 1, point a) de la Loi, des clients qui sont des personnes physiques doit se faire au minimum au moyen d’un document d’identification authentique officiel en cours de validité, émanant d’une autorité publique et muni de la signature et d’une photo du client, tel que (…) le passeport du client, sa carte d’identité, (…) sa carte de séjour, son permis de conduire ou tout autre document similaire ».

« Des moyens d’identification électronique, en ce compris les services de confiance pertinents prévus par le Règlement (UE) n° 910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées peuvent être utilisés par le professionnel pour remplir son obligation de vigilance visée à l’article 3 paragraphe 2, alinéa 1, point a) de la Loi ».

(2) « En fonction de leur évaluation des risques, et sans préjudice d’autres obligations renforcées de vigilance, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple, la vérification de l’adresse indiquée par le client au moyen d’un justificatif du domicile ou une prise de contact avec le client, notamment par courrier recommandé avec accusé de réception ».

Voyez les tableaux de l’annexe « documents » relative aux obligations de vigilance à l’égard du client personne physique  

La pratique en matière d’exigences documentaires peut varier d’un établissement à l’autre et peut parfois être plus restrictive que le requis réglementaire. Le cadre législatif et réglementaire luxembourgeois laisse le cas échéant une certaine discrétion au professionnel quant au choix de la documentation qui sert à identifier le client personne physique. 

Ainsi, le professionnel pourra utilement se référer aux recommandations/bonnes pratiques en matière d’identification de la clientèle publiées par des associations professionnelles (par ex. l’ALCO, l’IRE) ou encore par les autorités de surveillance du secteur bancaire/financier ou autres (AED). 

Situation exceptionnelle :

Il se peut également que les clients soient munis de pièces documentaires spécifiques (par ex. carte de forain, carte de séjour, livret de famille, etc.) dont la pertinence est laissée à l’appréciation du professionnel, mais qui, à eux seuls, ne fournissent pas une identification complète. Il convient, dans ce type de situation, et comme indiqué supra, d’arriver à

obtenir d’autres documents de source fiable et indépendante qui viendront compléter les pièces à caractère spécifiques fournies par le client.

Au cas où un document d’identification officiel étranger ne comporte pas de signature, le professionnel requiert un document justificatif supplémentaire. Un lien clair doit être établi entre l’identité du client et sa signature. Le justificatif supplémentaire, dans ce cas de figure ou dans une situation exceptionnelle, contient les informations confirmatives en matière d’identification du client. 

Quelques exemples d’exigences documentaires complémentaires éventuelles relatifs aux clients personnes physiques:

– Titre de propriété de la résidence principale, quittance de loyer de moins de trois mois, attestation d’assurance logement, documents d’imposition taxe d’habitation, taxe foncière, taxes communales, document officiel attestant de subventions étatiques

– Certificat de nationalité, décret de naturalisation, carte de combattant, carte de circulation délivrée par les autorités militaires, carte d’invalidité  

– Factures internet/téléphonie mobile de moins de trois mois (sur support papier ou dématérialisées)

– Dernier avis d’imposition/non-imposition, bulletins de salaires renseignant la résidence principale, titre de pension renseignant l’adresse principale, allocation officielle de crédit d’impôt, allocations étatiques diverses (familiales, invalidité…)

– Convocation administrative, mise en demeure, signification par voie d’huissier,    

Le permis de conduire pourrait aussi constituer un document officiel d’attestation de l’identité du client ou venir complémenter d’autres documents du dossier client, notamment pour les clients résidant dans des État tiers. 

Quelques exemples de situation :

  • Afin de se ménager des preuves, il est de pratique courante de prendre copie des pièces d’identité de manière systématique.
  • Le professionnel portera une attention particulière à des situations inhabituelles telles que l’absence ou la nature temporaire du lieu de résidence d’un client (par exemple une suite dans un hôtel, une boîte postale). Le professionnel veillera à la concordance entre toutes les informations qu’il aura reçues quant aux éléments d’identification. En cas de contradiction (par exemple quant à l’adresse) ou d’information insuffisante, il doit exiger des justificatifs supplémentaires.

Une entrée en relation d’affaires ne sera acceptée par le professionnel que si ce dernier dispose de tous les documents qu’il a demandé à son client.

2.1.2  Le mandataire/fondé de procuration du client personne physique incapable/mineur

Les pouvoirs de représentation des représentants légaux des clients qui sont des personnes physiques incapables, c.-à-d. qui font l’objet de mesures de tutelle/curatelle (ou analogues), ou mineures, doivent être vérifiés au moyen de documents susceptibles de faire preuve.

L’identification et la vérification de l’identité du mandataire du client doit par ailleurs être réalisée comme décrit au point 2.1.1. Le professionnel prendra copie des documents recueillis.

Le livret de famille est parfois utilisé dans l’hypothèse de l’ouverture d’un compte au nom d’un mineur par une personne majeure. Dans ce cas, il convient de vérifier l’identité de cette dernière et de renseigner le lien entre celle-ci et le mineur. 

Il est recommandé de se procurer une copie de la pièce d’identité du mineur dès lors qu’il en possède une, et au plus tard au moment de sa majorité. Il se recommande d’une manière générale de demander au client que celui-ci informe le professionnel de tout changement intervenu dans son statut juridique.

2.1.3  Le cas particulier du statut de réfugié ou DPI (Demande de Protection Internationale)

Même si l’attestation de dépôt de demande de protection internationale ne constitue qu’un élément partiel de vérification de l’identité du client au sens de la Loi, on relève qu’elle comporte le cachet du Ministère des Affaires Étrangères, ainsi que la signature d’un officiel de ce ministère, en plus de la photographie d’identité du demandeur en protection, de sa signature et des indications d’identité telles que requises par l’article 16 du Règlement CSSF n°12-02.

Cette attestation pourrait, sous réserve d’être valable, être considérée comme acceptable à des fins d’ouverture d’un compte bancaire au Luxembourg offrant des services financiers de base, à condition que les risques en résultant soient mitigés par les conditions d’utilisation de ce compte et l’application de mesures de vigilance renforcées dans les cas d’espèce.

Les banques devraient également suivre le comportement du demandeur d’asile par rapport à la nature, le montant, l’origine/la destination de la transaction concernée, etc. aux fins de pouvoir repérer les transactions potentiellement suspectes et intervenir de manière adéquate, le cas échéant, conformément à l’article 5 (1) a) de la Loi.

Les banques devraient régulièrement réviser le profil de risque du demandeur d’asile en question aux fins de vérifier que ce profil reste adapté, notamment après quelques mois, afin de vérifier une évolution dans le statut de la personne.   

Les banques devraient également rejeter une demande d’ouverture de compte bancaire assorti de prestations de base lorsque l’ouverture d’un tel compte entraînerait une violation des dispositions applicables en matière de prévention du blanchiment et de lutte contre le financement du terrorisme.

Il est suggéré que toute demande d’ouverture de compte pour un DPI ou que toute vérification d’identité dans le cadre d’une transaction bancaire s’effectue sur base d’un document qui réponde aux caractéristiques suivantes: 

1 – Mentions des principales informations d’identité requises par l’article 16 du Règlement CSSF n°12-02 (sachant que l’adresse n’est pas impérative), ET

2 – Présence d’une photographie d’identité du demandeur en protection, ET

3 – Présence sur le document d’un cachet du Ministère des Affaires Étrangères ou de l’OLAI, OU

4 – Présence sur le document d’une signature d’un représentant du Ministère des Affaires Étrangères ou de l’OLAI.

Toute documentation ne présentant pas l’ensemble des caractéristiques reprises ci-dessus est acceptée par le professionnel à ses propres risques, étant entendu qu’une exception peut être faite concernant les attestations de dépôt de demande de protection internationale portant un cachet ou la mention « débouté » ou « annulé », mais uniquement dans le respect des conditions suivantes : 

– l’acceptation d’une telle attestation (mentionnant le cachet ou la mention « débouté » ou « annulé ») ne peut être admise que pour l’identification du DPI dans le cadre de transactions effectuées sur ou à partir d’un compte (et non pour l’ouverture de ce dernier)

– tant que le compte du DPI enregistre des crédits de sommes provenant du Ministère des Affaires Étrangères et/ou de l’OLAI.

L’absence de versements provenant de ces autorités peut signifier un rejet de la demande et justifier de recherches / vérifications complémentaires de la part de l’établissement concerné.

2.1.4 La Validité de la carte d’identité française périmée depuis moins de 5 ans

D’après la réglementation française, depuis le 1er janvier 2014, la durée de validité de la carte nationale d’identité est passée de 10 à 15 ans pour les personnes majeures (plus de 18 ans). L’allongement de cinq ans pour les cartes d’identité concerne :

  • Les nouvelles cartes d’identité sécurisées (cartes plastifiées) délivrées à partir du 1er janvier 2014 à des personnes majeures ;
  • Les cartes d’identité sécurisées délivrées (cartes plastifiées) entre le 2 janvier 2004 et le 31 décembre 2013 à des personnes majeures.

Si la carte d’identité a été délivrée entre le 2 janvier 2004 et le 31 décembre 2013, la prolongation de 5 ans de validité de la carte est automatique. La date de validité inscrite sur le titre ne sera pas modifiée. Pour les cartes en apparence périmées mais dont la validité est prolongée de 5 ans, le Luxembourg a officiellement confirmé qu’il l’accepte comme document de voyage.

Le ressortissant français pourrait valablement utiliser la carte d’identité française susmentionnée, en apparence périmée mais dont la validité court encore suite à sa prolongation pour 5 ans après une période initiale d’émission/validité de 10 ans, dans le cadre de l’ouverture d’une relation d’affaire avec un établissement de crédit.

Le professionnel détermine à discrétion, conformément à l’approche fondée sur les risques, l’acceptation d’une carte d’identité française périmée et le cas échéant, demande d’autres pièces documentaires eu égard à l’identification de son client.

2.1.5  Moyens d’identification électroniques de vérification de l’identité

A. Les mesures de vigilance à l’égard de la clientèle comprennent :

« L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations obtenus de sources fiables et indépendantes, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

Le professionnel peut recourir à la vidéo conférence en utilisant un logiciel développé par lui-même, sinon par un fournisseur externe ou encore déléguer cette fonction « d’on-boarding » vidéo à une partie tierce. Seule une personne physique formée à cet effet peut utiliser le système de vidéo conférence et agir directement avec le prospect, excluant de fait l’interposition unique d’un robot sans garanties supplémentaires.

Seules des personnes physiques (le client, le représentant légal du client, le mandataire, le co-titulaire du compte ou le BE) peuvent utiliser la fonctionnalité et être identifiées par le professionnel.

L’utilisation de l’outil de vidéo-conférence n’est possible que si le professionnel n’a aucun soupçon de blanchiment/financement du terrorisme et que la véracité et la pertinence des documents préalablement soumis par le client ne peut être contestée.

Pendant l’identification du client, les données figurant sur les documents d’identité doivent être clairement lisibles et clairement identifiables (bonnes conditions de luminosité, le client ne doit pas être déguisé ni porter de couvre-chef couvrant une partie de son visage etc…). Seuls les documents d’identité officiels du pays émetteur qui contiennent des dispositifs de sécurité optiques (hologrammes, éléments d’impression spécifiques) sont autorisés pour la procédure de vérification. L’annexe V du Vademecum contient un lien très pratique au registre public en ligne de documents authentiques d’identité et de voyage pour les citoyens du monde entier, tel qu’établi par le Conseil de l’Union européenne.

Le professionnel doit garantir l’efficacité et la fiabilité du système et reste toujours responsable des obligations de vigilance à l’égard de la clientèle qui lui incombent.

Que faire ?

Les professionnels qui souhaitent utiliser des installations/systèmes vidéo à des fins d’accueil de clients à distance doivent prendre contact avec la CSSF pour décrire les systèmes qu’ils ont l’intention d’exploiter. La CSSF pourra formuler des remarques utiles, dont il faudra tenir compte avant d’utiliser le système.

L’avis du comité mixte explore notamment comment les solutions innovantes actuellement utilisées par les professionnels du secteur financier peuvent les aider à mieux remplir leurs obligations en matière de LBC/FT. Par exemple, les solutions impliquant une vérification à distance  des clients peuvent contenir des fonctionnalités particulières permettant de définir si la pièce d’identité présentée appartient effectivement à la personne qui la présente, en combinant plusieurs paramètres, notamment la reconnaissance faciale biométrique, les fonctions de sécurité du document et la reconnaissance des caractères optiques.

Ces innovations peuvent également améliorer considérablement les processus de surveillance des transactions des établissements de crédit et des institutions financières en les automatisant et en permettant d’extraire de manière instantanée des données pertinentes de plusieurs banques de données.

Au niveau national, concernant l’interopérabilité / l’usage transfrontalier des services de confiance fournis par les « prestataires de services de confiance » tels que définis dans le règlement n°910/2014 et consistant notamment en la création, la vérification et la validation de signatures électroniques, de cachets électroniques (…), de services d’envoi recommandé électronique et de certificats relatifs à ces services, le portail luxembourgeois « qualité.lu » de l’ILNAS (organe de contrôle national) énonce la liste de confiance luxembourgeoise desdits prestataires (c.-à-d. en pratique LuxTrust).

Au niveau européen, la Commission européenne publie elle aussi une liste des prestataires de services de confiance.

L’identité du client doit être vérifiée par le professionnel par le biais d’une communication audiovisuelle en temps réel en s’assurant d’employer des supports techniques appropriés. Le professionnel veillera à contrôler l’authenticité des documents d’identification du client, notamment au moyen de la lecture et du déchiffrage des dispositifs de sécurité optiques des documents fournis par le client ainsi que d’autres éléments choisis par le professionnel. 

Il ressort du Règlement européen n°910/2014 depuis le 1er Juillet 2016 que :

« 1- L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.

2 – L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

3 – Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres ».

Par ailleurs, la valeur légale de la signature électronique est reprise dans le Code civil :

« La signature nécessaire à la perfection d’un acte sous seing privé identifie celui qui l’appose et manifeste son adhésion au contenu de l’acte. Elle peut être manuscrite ou électronique».

B.Mesures spécifiques à adopter par le professionnel dans le cas d’une entrée en relation d’affaires à distance « Non face to face »

« Lorsque le client n’est pas physiquement présent ou n’a pas été rencontré par ou pour le compte du professionnel aux fins de l’identification, relation dite « Non face-to-face », et que le professionnel n’a pas pris les garanties nécessaires telles qu’indiquées à l’Annexe IV, point 2) c) de la Loi (c’est-à-dire non assorties des garanties telles que des moyens d’identification électroniques au sens du règlement (UE) n°910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées)  des mesures spécifiques doivent être appliquées par le professionnel pour compenser le risque potentiellement plus élevé que présente ce type de relation ».

Les mesures spécifiques à prendre dans ce cas de figure peuvent notamment être :

  • « des mesures garantissant que l’identité du client est établie au moyen de documents, données ou informations d’identification supplémentaires
  • des mesures complémentaires assurant la vérification ou la certification par une autorité publique des documents fournis
  • une attestation de confirmation de la part d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme
  • des mesures garantissant que le premier paiement des opérations est effectué au moyen d’un compte ouvert au nom du client auprès d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme».

Cette liste de mesures supplémentaires à adopter en cas d’entrée en relation d’affaires à distance et en l’absence de garanties nécessaires telles que visées notamment dans le règlement (UE) n°910/2014 a été introduite par le règlement CSSF n°20-05 et n’est pas exhaustive. Libre au professionnel d’adopter d’autres mesures qu’il jugerait utile.

2.1.6 Orientations du GAFI sur l’identité numérique

L’identification numérique fait simplement référence à l’utilisation de la technologie pour affirmer et prouver l’identité.

La section III du guide est la plus pertinente en ce qui concerne les normes de vigilance à l’égard de la clientèle. Dans l’ensemble, le guide devrait aider les professionnels à comprendre si un identifiant numérique est adapté à des fins de vigilance à l’égard de la clientèle, après avoir d’abord compris les attributs des systèmes d’identification numérique.

A. Résumer brièvement le processus d’identification numérique (annexe A de la ligne directrice du GAFI)

Comme indiqué ci-dessus, le processus d’identification numérique se compose principalement de deux éléments :

(i) La preuve d’identité et l’enrôlement

La première étape consiste à répondre à la question simple « qui êtes-vous », avec la collecte de preuves d’attributs liés au fait que le client est ici un individu (documentaire ou numérique, sachant qu’il existe des biométries biophysiques, biomécaniques et comportementales).

Viendra ensuite la validation pour s’assurer de l’authenticité des preuves recueillies, puis le processus de vérification par lequel il y aura une confirmation que l’identité validée correspond bien au client en cours de processus.

(ii) L’authentification et la gestion du cycle de vie de l’identité

Cette partie du processus d’identification pourrait être brièvement résumée comme suit :  » Êtes-vous celui que vous prétendez être ? « .

Comme l’indique le GAFI, « plus un processus d’authentification utilise de facteurs, plus le système d’authentification est susceptible d’être robuste et digne de confiance ». Une fois que le client a été prouvé et inscrit avec succès dans un système d’identification numérique, le processus d’authentification garantit au professionnel que la personne qui présente le justificatif est bien celle à qui il appartient.

Les facteurs d’authentification courants peuvent être résumés comme suit :

La gestion du cycle de vie désigne simplement les actions que les professionnels devront entreprendre en réponse aux événements qui surviennent aux titres d’identité (perte, vol, etc.).

B. S’assurer que le système d’identification numérique est adapté aux besoins de diligence raisonnable des clients :

En dehors de la guidance de la CSSF sur le chat vidéo et du fait que la CSSF sera éventuellement consultée sur tout système d’identification numérique utilisé ou mis en œuvre par un professionnel, il n’existe pas de guidance spécifique au Luxembourg sur l’adéquation d’un système d’identification numérique qui sera utilisé pour l’accueil des clients.

Par conséquent, l’illustration du GAFI ci-dessous, combinée à une approche basée sur le risque, sera utile aux professionnels pour choisir le bon système et s’assurer qu’il est accompagné du bon niveau d’assurance :

QUE FAIRE?

  • Utiliser des systèmes/processus de lutte contre la fraude et de cybersécurité pour soutenir la preuve numérique d’identité et/ou l’authentification afin de soutenir la quête de LAB/CFT.
  • Assurez-vous que la CSSF peut obtenir les informations sous-jacentes et les preuves d’identité ou les informations numériques nécessaires pour identifier et vérifier l’identité de votre client/prospect.

2.2 Le client « personne morale »

2.2.1 L’identification du client personne morale

« Aux fins de l’identification des clients personnes morales, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes :

    • dénomination;
    • forme juridique;
    • adresse du siège social, ainsi que, si elle est différente, celle de l’un du principal lieu d’activité
    • le cas échéant, un numéro d’identification national officiel;
    • le nom des dirigeants (pour les personnes morales) et administrateurs ou personnes exerçant des positions similaires (pour les constructions juridiques) et intervenant dans le cadre de la relation d’affaires avec le professionnel;
    • dispositions régissant le pouvoir d’engager la personne morale ou la construction juridique;
    • autorisation d’entrer en relation ».

« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».

Ouverture d’un compte pour une société en voie de formation avant l’achèvement des mesures de vérification de l’identité

Le professionnel peut ouvrir un compte pour une société en voie de formation pour autant que les conditions suivantes soient réunies :

«  –  les professionnels identifient et vérifient l’identité des fondateurs de la société  conformément à la Loi. Ils obtiennent de la part des fondateurs une déclaration qu’ils agissent, soit pour leur propre compte, soit pour des bénéficiaires effectifs qu’ils nomment, et, le cas échéant, les professionnels prennent les mesures d’identification et de vérification de l’identité à l’égard de ces derniers conformément à la Loi

–  dans les plus brefs délais après la constitution de la société, les professionnels complètent les mesures d’identification et de vérification de l’identité à l’égard de la société (…) ainsi que, le cas échéant, à l’égard de ses bénéficiaires effectifs (…). L’impossibilité de vérifier l’identité des fondateurs, de la société et des bénéficiaires effectifs dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôle de la LBC/FT aux fins requises

– des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification ».

Le professionnel peut voir sa responsabilité engagée s’il permet à son client personne morale de disposer des fonds avant que l’identification de celui-ci ne soit achevée. 

Il se recommande de surseoir à la mise en fonctionnement du compte, à tout le moins jusqu’à réception des pièces ou informations requises, pour lesdites personnes qui ne seraient pas encore identifiées de manière satisfaisante. Dans une telle hypothèse, le professionnel prend les mesures qui s’imposent, dont notamment procéder au blocage du compte afin d’interdire toute sortie de fonds.

2.2.2 Mesures d’identification et de vérification du mandataire du client personne morale

Le mandataire détient une procuration de la personne morale qui lui donne le pouvoir d’agir en son nom ; le professionnel procède à l’identification et à la vérification de l’identité dudit mandataire, tout comme pour le mandataire social (c.-à-d. une personne morale) sur la base d’une approche fondée sur les risques. L’identification et la vérification de l’identité du représentant légal du mandataire social sont aussi recherchées. 

Seuls les pouvoirs de représentation de(s) la personne(s) agissant au nom du client « dans le cadre de la relation d’affaires avec le professionnel » feront l’objet d’une vérification. Les professionnels pourront ainsi ne pas avoir à identifier et à vérifier systématiquement l’identité de toutes les personnes détenant une procuration au nom du client personne morale.

Le mandataire ne doit pas être confondu avec la(les) personne(s) figurant sur une liste de signataires autorisés transmise par le client personne morale. En pratique, les professionnels reçoivent les noms de nombreux signataires autorisés (listes imprimées ou format informatique). Ces personnes ne sont ni les représentants légaux de la personne morale, ni ses bénéficiaires effectifs.  Ainsi, ils ne sont pas soumis aux mêmes obligations d’identification que les mandataires du client personne morale. 

Il n’est donc pas requis de vérifier l’identité des personnes figurant sur une liste de signataires, mais il est recommandé de procéder à l’enregistrement de leurs noms, notamment aux fins de « name screening ».

« Les professionnels prennent en outre connaissance des pouvoirs de représentation de(s) la personne(s) agissant au nom du client dans le cadre de la relation d’affaires avec le professionnel et procèdent à leur vérification au moyen de documents susceptibles de faire preuve dont ils prennent copie, le cas échéant sous forme électronique (digitale) ».

« Sont notamment visées (…) :

  • « (…) les personnes physiques ou morales autorisées à agir pour le compte des clients en vertu d’un mandat ;
  • les personnes autorisées à représenter des clients qui sont des personnes morales ou des constructions juridiques dans leurs relations avec le professionnel ».

Voyez les tableaux de l’annexe V « documents » relative aux obligations de vigilance à l’égard du client personne morale.

  •  Pour les sociétés : 

La documentation complète relative à une personne morale doit permettre de retracer la suite logique des nominations et délégations de pouvoir, en passant par les statuts et la désignation des membres de son Conseil jusqu’à la délégation de pouvoir aux personnes qui engagent la société vis-à-vis du professionnel. 

A propos du recueil des informations sur l’identité des dirigeants et administrateurs des sociétés, les professionnels devront au moins identifier et vérifier l’identité des dirigeants et administrateurs (même ceux sans pouvoir de signature) en contact avec l’établissement de crédit.  

Les comptes ouverts au nom d’institutions financières devraient faire l’objet de procédures adaptées sous réserve des obligations en matière de banques correspondantes.

  • Pour les autres personnes morales :

Les situations exceptionnelles, telles que l’ouverture de compte au nom d’une association, d’une fondation ou d’un syndicat, devraient faire l’objet d’identification au cas par cas.

Concernant la délégation de pouvoirs, l’ABBL recommande que  les professionnels vérifient les pouvoirs de la personne qui agit pour le compte du client et recueillent un document justifiant la qualité de représentant. 

Par exemple :

  • pour le représentant d’une société ou d’une association : des statuts de la société ou de l’association ou d’une délégation de pouvoir en bonne et due forme
  • pour le représentant d’un organisme de placement collectif : du prospectus du fonds ou de documents équivalents permettant d’identifier la société de gestion 
  • pour le représentant légal d’une commune/collectivité territoriale : du décret de nomination(le cas échéant), de la délégation de pouvoir des personnes ». 

En fonction de son analyse des risques, le professionnel pourra prévoir une réduction des mesures d’identification et de vérification du mandataire dans le cadre d’obligations de vigilance simplifiées

2.2.3 La vérification de l’identité du client personne morale

« L’identification du client et la vérification de son identité (s’effectuent) sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

« (…) la vérification de l’identité des clients qui sont des personnes morales ou autres constructions juridiques doit se faire au minimum au moyen des documents suivants dont il est pris copie, le cas échéant sous forme électronique (digitale) :

  • les derniers statuts coordonnés ou statuts à jour (ou document constitutif équivalent)
  • un extrait du registre des sociétés récent et à jour (ou document probant équivalent) ».

Le professionnel peut utiliser un certificat de constitution, un certificat de conformité, un contrat de société, (…) ou tout autre document provenant d’une source indépendante et fiable indiquant le nom, la forme et l’existence du client.

« En fonction de leur évaluation des risques, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple:

  • un examen du dernier rapport de gestion et des derniers comptes, le cas échéant certifiés par un réviseur d’entreprises agréé
  • la vérification, après consultation du registre des sociétés ou de toute autre source de données professionnelles, que la société n’a pas fait, ou ne fait pas, l’objet d’une dissolution, d’une radiation, d’une mise en faillite ou d’une liquidation
  • la vérification des informations recueillies auprès de sources indépendantes et fiables, telles que, notamment, des banques de données publiques et privées

une visite de la société, dans la mesure du possible, ou une prise de contact avec la société, notamment par courrier recommandé avec avis de réception ».

Le professionnel peut compléter les documents susmentionnés en fonction de son appréciation des risques encourus. Il a aussi, le cas échéant, la faculté d’appliquer des mesures de vigilance simplifiées vis-à-vis de son client personne morale (voy. supra partie II, chapitre 5 du Vade-Mecum).

Il est possible pour les personnes morales originaires de certains pays dans certaines circonstances de se procurer des extraits de registre de commerce par Internet (à titre d’exemple, en Suisse, en Belgique et aux Pays-Bas). Il est recommandé de s’assurer de la fiabilité de la source fournissant ces documents. Le « Luxembourg Business Registers »

G.I.E. permet de disposer de nombreux extraits de registres de commerce européens, en raison de sa participation au « European Business Register ».

Il est de pratique courante de se baser, pour l’identification d’une personne morale, sur un extrait de registre de commerce récent, c’est-à-dire qui date de préférence de moins de douze mois au moment de l’ouverture du compte.

Il est recommandé lors de l’identification de personnes morales de distinguer entre les sociétés qui ont une activité commerciale évidente (grands groupes commerciaux, sociétés cotées, PME) et les sociétés de petite dimension, notamment patrimoniales et ou susceptibles de faire écran. Le fait qu’une personne morale soit notoirement connue peut être inscrit au dossier.

Dans l’hypothèse d’ouverture de comptes multiples par une même personne morale, le professionnel peut se fier à la vérification d’identité effectuée lors de la première ouverture de compte, à moins que des éléments essentiels de l’identification soient susceptibles d’avoir évolués (changement de raison sociale) ou que le professionnel ait des doutes quant à l’exactitude des renseignements fournis. Lorsqu’une relation d’affaires a été entièrement résiliée et qu’une nouvelle relation d’affaires est nouée ultérieurement, le professionnel doit procéder à nouveau à l’identification et à la vérification d’identité du client.

Sous-section 2. Identification et vérification de l’identité des bénéficiaires effectifs

I – Définition de la notion de bénéficiaire effectif

1.1. La définition du bénéficiaire effectif (« BE »)

L’obligation d’identification des bénéficiaires effectifs recouvre l’identification :

(a) des bénéficiaires effectifs des sociétés

(b) des bénéficiaires effectifs des fiducies et des trusts

(c) des bénéficiaires effectifs des entités juridiques telles que les fondations et les constructions juridiques similaires à des fiducies ou à des trusts.

Les professionnels sont dans l’obligation de prendre des mesures raisonnables pour obtenir l’identité de la personne physique qui possède ou contrôle le client ou pour laquelle une transaction est réalisée.

 « Par bénéficiaire effectif (…) est désignée toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. La notion de bénéficiaire effectif comprend au moins :

a)   dans le cas des sociétés :

i) toute personne physique qui, en dernier ressort, possède ou contrôle une entité juridique, du fait qu’elle possède directement ou indirectement un pourcentage suffisant d’actions ou de droits de vote ou d’une participation au capital dans cette entité, y compris par le biais d’actions au porteur ou d’un contrôle par d’autres moyens, autre qu’une société cotée sur un marché réglementé qui est soumise à des obligations de publicité compatibles avec le droit de l’Union européenne ou à des normes internationales équivalentes qui garantissent la transparence adéquate pour les informations relatives à la propriété.

Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une personne physique, est un signe de propriété directe. Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une société, qui est contrôlée par une ou plusieurs personnes physiques, ou par plusieurs sociétés, qui sont contrôlées par la ou les mêmes personnes physiques, est un signe de propriété indirecte.

ii) si après avoir épuisé tous les moyens possibles et pour autant qu’il n’y ait pas de motif de suspicion, aucune des personnes visées au point i) n’est identifiée, ou s’il n’est pas certain que la ou les personnes identifiées soient les bénéficiaires effectifs, toute personne physique qui occupe la position de dirigeant principal;

« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :

aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires

bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;

cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;

dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »

b)  dans le cas des fiducies et trusts :

i) le ou les constituants;

ii) le ou les fiduciaires ou trustees;

iii) le ou les protecteurs, le cas échéant;

iv) les bénéficiaires ou, lorsque les personnes qui seront les bénéficiaires de la construction ou de l’entité juridique n’ont pas encore été désignées, la catégorie de personnes dans l’intérêt principal de laquelle la construction ou l’entité juridique a été constituée ou opère;

v) toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie ou le trust par propriété directe ou indirecte ou par d’autres moyens;

c) pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, toute personne physique occupant des fonctions équivalentes ou similaires à celles visées au point b) ».

« l’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier l’identité de cette personne, de telle manière que l’entité assujettie ait l’assurance de savoir qui est le bénéficiaire effectif, y compris, pour les personnes morales, les fiducies/trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client »

« Le bénéficiaire effectif au sens de l’article 1 paragraphe 7 de la Loi désigne toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. Cela peut être le cas même si le seuil de participation ou de contrôle tel qu’indiqué à l’article 1 paragraphe 7 point a) i) de la Loi n’est pas atteint ».

En prévoyant la possibilité de devoir identifier en tant que BE une personne physique détenant moins de 25% des actions, le Règlement CSSF rappelle que l’approche du professionnel ne doit pas consister à se reposer simplement sur ce seuil de participation de 25% alors que ce seuil ne permet pas automatiquement et dans tous les cas d’identifier le réel BE.  Il est ainsi possible qu’une personne détenant moins de 25% soit le BE si cette personne exerce autrement le pouvoir de contrôle sur la direction d’une entité juridique. 

Il faut également garder à l’esprit qu’il est possible que des approches différenciées en terme d’identification des bénéficiaires effectifs puissent être adoptées par le professionnel au titre de la Loi d’une part, et les obligations à respecter par les sociétés conformément la loi du 13 janvier 2019 sur le registre des bénéficiaires effectifs des sociétés d’autre part.

1.2 La définition de « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale

Il est important de noter que des approches différenciées peuvent être adoptées en matière d’identification des bénéficiaires effectifs, selon qu’il s’agit des mesures de vigilance à l’égard de la clientèle conformément à la Loi ou d’obligations similaires en matière fiscale. 

Aussi, les informations ci-dessous ne peuvent être assimilées aux obligations d’identification du BE au sens de la Loi et ne sont données qu’à titre comparatif. Par ailleurs, les termes personnes détenant le contrôle au sens de la loi du 18 décembre 2015 ne peuvent être assimilés à ceux de « contrôle » dans le cas des sociétés ou de « contrôle en dernier ressort » dans le cas des fiducies/trust au sens de la Loi.

« L’expression personnes détenant le contrôle désigne les personnes physiques qui exercent un contrôle sur une entité. Dans le cas d’un trust, cette expression désigne le ou les constituants, le ou les trustees, la ou les personnes chargées de surveiller le trustee le cas échéant, le ou les bénéficiaires ou la ou les catégories de bénéficiaires, et toute autre personne physique exerçant en dernier lieu un contrôle effectif sur le trust et, dans le cas d’une construction juridique qui n’est pas un trust, l’expression désigne les personnes dont la situation est équivalente ou analogue. L’expression personnes détenant le contrôle doit être interprétée conformément aux recommandations du GAFI ».

Le terme d’entité non financière (« ENF ») passive désigne essentiellement (1) une ENF, c’est-à-dire toute entité qui n’est pas une institution financière, (2) qui de surcroît n’est pas une ENF active. Une ENF active désigne toute ENF qui satisfait à un des huit critères pertinents énoncés par la directive (UE) 2014/107. Parmi ces critères, le plus représentatif semble devoir être celui requérant que moins de 50% du revenu brut de l’entité sous revue soit un revenu passif (dividendes, intérêts, loyers, plus-values)

Pour déterminer la résidence des « Personnes détenant le contrôle » d’une ENF passive pour les nouveaux comptes d’entités, « (…) l’institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) », étant entendu que pour les comptes d’entités préexistant, la règle est la suivante :

« Pour déterminer les personnes détenant le contrôle d’un Titulaire de compte, une institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des Procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) ». [personnes détenant le contrôle d’une ENF passive]

« Pour déterminer si une personne détenant le contrôle d’une ENF passive est une personne devant faire l’objet d’une déclaration, une Institution financière déclarante peut se fonder sur : 

i)  des informations recueillies et conservées en application des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) dans le cas d’un compte d’entité préexistant détenu par une ou plusieurs ENF et dont le solde ou la valeur agrégée ne dépasse pas un montant libellé en euros équivalant à 1.000.000 USD (…) ». [Déterminer la résidence d’une personne détenant le contrôle d’une ENF passive]

Dans le cadre de l’identification de la « personne détenant le contrôle » d’un titulaire de compte « ENF passive », la loi du 18 décembre 2015 concernant l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale se réfère aux procédures d’identification/ informations recueillies dans le cadre de la lutte contre le blanchiment.

Par ailleurs, le formulaire « CRS – E » énonce dans son annexe que la définition de la « Controlling Person (…) corresponds to the term « beneficial owner » described in Recommendation 10 and the Interpretative Note on Recommendation 10 of the FATF ». 

Les lignes directrices de l’ABBL sur la mise en place de la norme commune de déclaration de l’OCDE énoncent aussi « Any individual identified as beneficial owner of the Entity under review under applicable anti-money laundering regulations should therefore qualify as Controlling Person of the said entity for the purpose of the CRS » [voy. Section VII: Controlling Persons of Passive NFEs].

II – Identification du/des bénéficiaire(s) effectif(s) dans différents cas de figure 

2.1  Identification du BE contrôlant la société par les seuils (actions/droits de vote/capital)

Le BE du client entité juridique peut simplement contrôler celle-ci de par une participation directe de plus de 25% dans son capital :

Une action = un droit de vote simple 

Detention directe du capital :

Mme A et M. B détiennent directement plus de 25% du capital de la société Z (parts sociales/actions).

Ce sont les BE de la société Z

Comme le rappelle le Règlement CSSF n°12-02, le professionnel peut identifier un BE de personne morale, même en présence d’un seuil de participation ou de contrôle inférieur à 25%, notamment dans le cadre de l’activité de banque privée. Le professionnel effectue ainsi une analyse du BE au cas par cas qui pourrait amener celui-ci à identifier et vérifier l’identité de M. Y, quand bien même celui-ci ne détient que 20% du capital de la société.

Le contrôle d’une entité juridique peut aussi résulter d’une détention indirecte (ou chaîne de détention) du capital de celle-ci :

Une action = un droit de vote simple 

Détention directe et indirecte du capital :

– M. A détient directement 30% du capital d’Alpha

– Mme B détient 37% du capital d’Alpha :

27% indirectement via sa participation dans Beta

(45%x60)

10% en direct.

– Mme C détient indirectement 29,7% du capital d’Alpha :

90% C x 55% Beta x 60% Alpha = 29,7%

Dans cet exemple, le seuil des 25% est dépassé pour chaque BE.

Les modalités de calcul du contrôle détenu par le BE tiennent toujours compte de la chaîne de détention indirecte.

Le BE peut détenir indirectement des droits de vote du client :

Une action = un droit de vote simple 

Détention indirecte des droits de vote : 

Mme A détient plus de 25% des droits de vote de la société Alpha :

40×90% = 36%

( aucun autre associé ne dispose individuellement de plus de 25% du capital ou des droits ; il n’existe pas de pactes d’associés)

Détention par le BE d’une participation majoritaire dans une entité détenant plus de 25% de la société cliente :

Une action = un droit de vote simple 

M. A ne détient pas de participation pondérée dans LuxCo de plus de 25% (75%x30% = 22,5%) mais détient une participation majoritaire de 75% dans FrenchCo qui détient plus de 25% des actions/droits de vote dans LuxCo.

M.B  détient une participation directe substantielle dans LuxCo. Tous deux sont les BE du client LuxCo.

2.2  Identification du BE contrôlant la société « par d’autres moyens »

« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :

aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires

bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;

cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;

dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »

La définition de « contrôle par d’autres moyens » a été introduite dans le droit positif luxembourgeois par la loi du 25 mars 2020.

Il peut aussi être utile pour le professionnel de se référer au cadre juridique des États membres voisins pour mieux appréhender cette notion et les situations auxquelles on se réfère.

En France par ex., la personne physique exerçant le contrôle sur une société est matérialisée:

– lorsqu’elle détermine en fait, par les droits de vote dont elle dispose, les décisions dans les assemblées générales de cette société

–  OU  lorsqu’elle est associée ou actionnaire de cette société et dispose du pouvoir de nommer ou de révoquer la majorité́ des membres des organes d’administration, de direction ou de surveillance de cette société ». 

En d’autres termes, par contrôle d’une société, il faut entendre le pouvoir de droit ou de fait d’exercer une influence décisive sur la désignation de la majorité des administrateurs ou gérants de celle-ci OU sur l’orientation de sa gestion.

EN BREF

Le droit de nommer ou de révoquer la majorité des membres de l’organe d’administration, de gestion ou de surveillance d’une entreprise OU le droit d’exercer une influence dominante /décisive sur l’entreprise en vertu d’un contrat conclu avec celle-ci ou de par ses statuts ou encore l’accord conclu avec d’autres actionnaires ou associés destiné à contrôler l’entreprise, caractérisent le « contrôle par d’autres moyens ».   

Une action = un droit de vote simple 

Ici, une chaîne d’actionnaires à 3 niveaux où l’on suppose que « les autres actionnaires » renvoient à des groupes d’actionnaires diffus (détention capital inférieure à 5%).

L’actionnaire A est BE de LuxCo en ce qu’il détient une part significative du capital de celle-ci qui lui permet d’exercer un « pouvoir de contrôle par d’autres moyens » sur les organes d’administration, de direction ou de surveillance ou sur son assemblée générale :

– détention indirecte de 13,26% du capital de LuxCo (51% x 51% x 51%) qui apparaît significative au regard du seuil de détention des groupes  « d’autres actionnaires » qui détiennent moins de 5% du capital

– A est détenteur majoritaire de l’actionnaire 2, lui-même actionnaire majoritaire de l’actionnaire 1, actionnaire majoritaire de LuxCo.

2.2.1 Le groupe familial s’assurant le contrôle d’une société

Un partenariat (PACS) est conclu entre Mme B et M. C.

Aucune  personne du groupe familial ne détient individuellement plus de 25% du capital ou des droits de vote de la société Alpha (tout comme les « autres actionnaires ou associés » qui n’ont pas conclu d’accord entre eux). Mais elles agissent « de concert », elles peuvent donc déterminer ensemble les décisions prises lors des AG dans le cadre de leurs liens familiaux.

M. A, Mme B, M. C et M.D sont les BE de la société cliente Alpha : ils disposent du contrôle de la société cliente « par d’autres moyens », car ils appartiennent à un groupe familial.

2.2.2 L’action de concert entre différentes personnes

L’action de concert peut se définir de la manière suivante : 

« Sont considérées comme agissant de concert les personnes qui ont conclu un accord en vue d’acquérir, de céder ou d’exercer des droits de vote, pour mettre en œuvre une politique commune vis-à-vis de la société ou pour obtenir le contrôle de cette société ».

Aucun des « autres actionnaires ou associés » ne détient individuellement plus de 25% du capital ou des droits de vote ; ils n’ont pas conclu d’accord pour détenir plus de 47% des droits de vote.

Mesdames D et A et Messieurs B et C n’ont pas de lien de parenté. Mais s’ils agissent de concert, ils peuvent déterminer les décisions prises lors des assemblées générales. Ils sont BE de la société cliente Alpha car ils disposent du contrôle « par d’autres moyens », étant tenus à un pacte d’actionnaires/associés.

2.2.3 Démembrement de propriété

80% des actions de la société civile immobilière Alpha sont détenues par la famille de Mme A ; un démembrement des actions a été préalablement effectué : Mme A jouit de l’usufruit et les héritiers légaux de la nue-propriété (en indivision).

Selon l’art. 1852bis du Code Civil, le droit de vote appartient au nu-propriétaire, à l’exception des décisions concernant l’affectation des bénéfices, réservées à l’usufruitier (sauf dispositions contraires des statuts de la SCI).

Sauf dispositions contraires des statuts de la SCI, Mme A, qui n’est pas associée de celle-ci, détermine néanmoins l’affectation des bénéfices à hauteur de 80%. Ainsi, Mme A est BE de la SCI Alpha.

Ses héritiers légaux, nus propriétaires, détiennent 80% du capital et des droits de vote de la SCI ; ils sont donc BE (on assume qu’il n’existe pas de dispositions contraires dans les statuts de la SCI).

2.3 Identification du BE de dernier ressort de la personne morale : « le dirigeant principal »

Si le professionnel n’a pas de motif de suspicion sur son client (société) et qu’il n’a pas pu déterminer le(s) bénéficiaire(s) effectif(s) de l’entité qui détient/détiennent un contrôle direct sur celle-ci ou via une chaîne de détention indirecte ou qui la contrôle « par d’autres moyens », ou s’il n’est pas certain que la/les personne(s) identifiée(s) soi(en)t le(s) bénéficiaire(s) effectif(s), le professionnel désigne alors toute personne physique qui occupe la position de dirigeant principal.

2.3.1 Cas des sociétés

La notion de « dirigeant principal » doit être comprise comme visant ceux des dirigeants de la société qui exercent, dans la pratique, l’influence la plus déterminante sur la gestion de la société. Il s’agira, en règle générale, du Chief Executive Officer (CEO) ou du président du comité de direction (de la société).

En l’absence de définition légale en droit luxembourgeois de la notion de dirigeant principal, les professionnels peuvent déterminer comme BE au cas par cas, en fonction des circonstances et selon les spécificités des droits étrangers des sociétés : 

a) Le ou les gérants des sociétés en nom collectif, des sociétés en commandite simple, des sociétés à responsabilité limitée, des sociétés en commandite par actions et des sociétés civiles 

b) Le directeur général / CEO des sociétés anonymes à conseil d’administration (système moniste) 

c) Le membre du directoire auquel a été délégué la gestion journalière de la société en présence de sociétés anonymes à directoire et conseil de surveillance (système dualiste)

d) Le président ou le directeur de la société par actions simplifiées si ce dernier dispose de pouvoirs de représentation analogues à celui du président qui lui sont conférés par les statuts.

Si les représentants légaux mentionnés au a) ou au d) sont des personnes morales, le bénéficiaire effectif est la (ou les) personne(s) physique(s) qui représente(nt) légalement ces personnes morales. 

La circulaire CSSF 20/742 précise qu’il sera exigé des entités assujetties qu’elles  prennent les mesures raisonnables nécessaires pour vérifier l’identité de la personne physique qui occupe la position de dirigeant principal et qu’elles conservent les informations relatives aux mesures prises ainsi qu’à toutes difficultés rencontrées durant le processus de vérification.

Sources :

 

« (…) la notion de dirigeant principal est à comprendre en général comme étant l’organe de gestion légalement prévu et pas uniquement par exemple, le président d’un conseil d’administration. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».

Illustration où le(s) représentant(s) légal/légaux sont, par défaut, les bénéficiaires effectifs :

Aucun BE de la SAS Alpha n’a pu être identifié ni au titre de la détention de capital/droits de vote, ni au titre d’un contrôle par d’autres moyens.

Devraient ainsi être identifiés BE de la SAS Alpha, les représentants légaux de la SAS Alpha :

M. A (DG de la société Belle qui a la qualité de présidente de la SAS Alpha) puisque dans la SAS française, le pouvoir est exercé par une unique personne : le président, qui peut être une personne physique ou morale (seul organe de direction obligatoire).

M. B, le cas échéant, si les statuts de la SAS Alpha lui confère un pouvoir exécutif et de représentation identique à celui de la SA « Belle ».

La désignation du BE « dirigeant principal » devrait demeurer exceptionnelle et n’intervenir qu’après avoir épuisé tous les moyens possibles visés par la Loi (seuils de détentions directs/indirects ; contrôle par d’autres moyens) pour déterminer le(s) BE(s) du client sociétaire. 

Selon la forme juridique de la société cliente, la fonction/désignation du dirigeant principal, BE, sera amenée à varier.

Le BE « dirigeant principal » est à identifier en priorité dans l’organe de gestion de la société, chargé de la gestion quotidienne de l’entité. Le professionnel est néanmoins invité à fonder son analyse, au cas par cas, selon les éléments de la relation d’affaires en présence.

 

Le « représentant légal » appliqué au cas de la société cliente luxembourgeoise (exemple non exhaustif):

Tableau indicatif du « représentant légal »

Représentant légal
(pouvoir exécutif de l’organe de gestion/ gérance/direction)
Organe d’administration
BE de « dernier ressort » (dirigeant principal)
- société à responsabilité limitée

- société en nom collectif
- société en commandite simple

- société en commandite spéciale






- société civile




associé commandité
(« General Partner »)



le(s) gérant(s)
Si SC spéciale structure de fonds d’investissement :
les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société par actions simplifiées - le président

- le(s) directeur(s) (si les statuts de la SAS lui ont conféré un pouvoir de représentation analogue à celui du président)
société Anonyme avec Conseil d’administration (système moniste)le directeur général (CEO)
(sinon le représentant permanent chargé de l’exécution en présence d’un DG personne morale)
si SA SICAV:
les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société Anonyme avec directoire et Conseil de Surveillance - le membre du Directoire auquel a été délégué la gestion journalière/ représentation de la société (son président le cas échéant).
(sinon son représentant permanent en présence d’une personne morale)
si SA SICAV:
les membres du Conseil de surveillance sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société en commandite par actions le(s) Gérant(s)
(actionnaire commandité le cas échéant)
si SCA SICAV:
les membres du CA sauf accord juridique spécifique (délégation des pouvoirs de gestion)

« Pour les fonds communs de placement, les représentants légaux de la société de gestion du fonds : les membres du Conseil d’Administration, sauf accord juridique spécifique devraient être considérés comme « dirigeant principal » (c.-à-d. BE de dernier ressort).

2.3.2 Cas des associations

Les associations sans but lucratif peuvent être impliquées dans la collecte ou la distribution de fonds pour des motifs caritatifs, religieux, culturels, éducatifs, sociaux, confraternels ou pour d’autres types de « bonnes œuvres ». Néanmoins, elles sont susceptibles d’être utilisées à des fins moins vertueuses et courir le risque  d’être exploitées notamment à des fins de financement du terrorisme, plutôt que de poursuivre un but non lucratif ou louable.

Le Ministère de la Justice a illustré quelques cas de figure où des associations/fondations  sont utilisées à des fins de FT dans des orientations (« sensibilisation du secteur associatif aux risques de financement du terrorisme »).

QUE FAIRE ?

Le client du professionnel peut être une association (reconnue d’utilité publique ou non). Dans ce cas de figure, le professionnel adopte une approche prudente et identifie le bénéficiaire « de dernier ressort ».

Outre l’identification du BE de dernier ressort, le professionnel n’omet pas de distinguer si l’association est utilisée dans un montage à but effectivement philanthropique ou dans un montage d’optimisation patrimoniale. Il est recommandé d’obtenir des renseignements concernant : le nom et l’adresse de l’organisme, son objet caritatif ainsi qu’un extrait de registre de commerce. 

Le GAFI estime que la personne physique exerçant le contrôle sur une personne morale correspond à celle qui supervise les affaires courantes/quotidiennes de cette dernière par le biais d’un poste de direction, par exemple celui de directeur général (CEO), de directeur financier (CFO) ou de président.

Ainsi, le dirigeant principal/représentant légal de l’ASBL, seul, désigné en vertu de dispositions légales ou statutaires, peut être enregistré comme BE dans le registre. Le cas échéant, les membres du comité exécutif/de direction, sinon, en l’absence de délégation des pouvoirs de gestion, les membres du conseil d’administration seront désignés BE dans le registre.

Au cas où le professionnel aurait des doutes quant à l’identification du BE (de dernier ressort) pour son client ASBL, celui-ci peut se référer à circulaire 19/02 du Luxembourg Business Registers :

« Si, malgré les recherches effectuées, aucun bénéficiaire effectif n’a pu être identifié au sens de la loi du 13 janvier 2019, le ou les dirigeants principaux sont alors considérés comme bénéficiaires effectifs et sont à ce titre, à inscrire au RBE.

Dans ce contexte, la notion de dirigeant principal est à comprendre en général comme étant le conseil d’administration et partant, l’ensemble de l’organe de gestion légalement prévu est à communiquer au RBE et pas seulement le président d’un conseil d’administration ou les membres d’un comité́ exécutif. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».

2.3.3 Cas des Organismes de placement collectif (OPC)

QUE FAIRE ?

Il convient ici de se référer aux orientations conjointes de l’ALCO, l’ALFI, LUX REAL et LPEA sur le bénéficiaire effectif du fonds d’investissement. 

Le professionnel pourra également se référer au document de l’ALFI « Practices and Recommendations aimed at reducing the risk of money laundering and terrorist financing in the Luxembourg Fund Industry » pour l’aspect banque dépositaire (partie IV, point D). 

En présence de fonds d’investissement de type SICAV, FCP, ou impliquant une forme juridique de type société en commandite spéciale ou « Limited Liability Partnership », le professionnel se réfère le cas échéant au tableau indicatif du représentant légal / dirigeant principal qui inclut l’identification du BE des sociétés dont la forme juridique est utilisée pour la création/gestion de fonds d’investissement.

Au Royaume-Uni par exemple, les fonds sont généralement constitués sous la forme de sociétés en commandite enregistrées auprès du registre des sociétés. Ces fonds ont un associé commandité (« General Partner ») qui exerce un pouvoir discrétionnaire sur les actifs du fonds. 

En présence d’un fonds d’investissement (type SICAV) compartimenté, s’agissant d’une personnalité juridique unique, le professionnel recherche le(s)  BE(s) du fonds au niveau de l’entité juridique et non par compartiments, ces derniers ne disposant pas d’une personnalité juridique propre. 

Les orientations du GAFI (« guidance for a risk-based approach for the securities sector ») énoncent que c’est à l’intermédiaire (client du banquier dépositaire) qu’incombent les obligations de vigilance à l’égard de la clientèle, la compréhension de la clientèle de l’intermédiaire  pouvant néanmoins être un élément utile pour déterminer le risque associé à l’intermédiaire. Le niveau de compréhension et le détail obtenu concernant la documentation doivent être adaptés au niveau de risque de l’intermédiaire.

Dans ce contexte, il s’agit aussi de noter que la banque dépositaire d’un OPC (dans la mesure où les textes législatifs imposent la nomination d’un dépositaire pour l’OPC) est tenue de prendre connaissance des biens et actifs financiers qui sont mis en dépôt auprès de la banque dépositaire et de procéder, le cas échéant, à une vérification de l’origine et de l’existence de ces biens et/ou actifs. 

Ce contrôle de diligence, communément connu sous l’appellation « Know Your Assets », pourrait incomber aux banques dépositaires en dehors de toute disposition législative explicite sur la base d’un devoir de diligence générale dans le chef de la banque dépositaire, l’approche basée sur les risques ayant dûment été appliquée et en l’absence d’accord exprès/ délégation conclue avec le(s) gestionnaire(s) d’investissement. 

La banque dépositaire peut néanmoins se fier à certaines présomptions légitimes concernant les biens et actifs mis en dépôt, dans la mesure où ces biens et actifs lui parviennent de certains types d’OPC, en accord avec l’approche basée sur les risques.

Une approche « Comply or Explain » est à privilégier, c.-à-d. que la banque devra documenter, le cas échéant expliquer au régulateur les présomptions appliquées, à défaut d’avoir procédé à un contrôle de diligence effectué sur les biens et actifs mis en dépôt auprès d’elle. 

2.3.4 Cas des personnes morales de droit public et des sociétés dont les titres sont admis sur un marché réglementé

A. Les personnes morales de droit public

QUE FAIRE ?

Les administrations ou entreprises publiques de pays ou territoires présentant un faible niveau de corruption  doivent être considérées par le professionnel comme présentant un risque potentiellement moins élevé au sens de la Loi.

L’organisme financier qui a comme client une personne morale de droit public est tenu d’identifier son bénéficiaire effectif ce qui revient, au vu des garanties de transparence, à identifier le bénéficiaire effectif en dernier ressort, à savoir son représentant légal.

Ainsi, la personne à qui la gestion journalière de l’établissement public / personne morale contrôlée par l’État a été confiée en vertu de dispositions légales ou statutaires peut être enregistrée comme BE dans le registre. Le cas échéant, les membres du comité exécutif/de direction, sinon les membres du conseil d’administration seront désignés BE dans le registre.

Si des représentants de l’État sont membres du comité exécutif ou du conseil d’administration, l’inscription de ces derniers au RBE est remplacée par celle de leur Ministre de tutelle.

La trésorerie de l’État du Luxembourg rassemble une liste des établissements publics, fondations et groupements d’intérêt économique qui répertorie les représentants légaux de ceux-ci.

B. Les sociétés dont les titres sont admis à la négociation sur un marché réglementé

« (…) Les sociétés dont les titres sont admis à la négociation sur un marché réglementé au Grand-Duché de Luxembourg ou dans un autre État partie à l’accord sur l’Espace économique européen ou dans un autre pays tiers imposant des obligations reconnues comme équivalentes par la Commission européenne au sens de la directive 2004/119/CE du Parlement européen et du Conseil du 15 décembre 2004 sur l’harmonisation des obligations de transparence concernant l’information sur les émetteurs dont les valeurs mobilières sont admises à la négociation sur un marché réglementé et modifiant la directive 2001/34/CE inscrivent uniquement le nom du marché réglementé sur lequel leurs titres sont admis à la négociation ».

Puisque les sociétés dont les titres sont admis à la négociation sur un marché réglementé au Luxembourg ou dans l’EEE ne devront renseigner que le nom du marché réglementé dans le registre des bénéficiaires effectifs des sociétés, le professionnel identifie ainsi le nom du marché réglementé sur lequel les titres de la société cliente sont admis comme BE

En présence d’une société cliente détenue majoritairement par une société dont les titres sont admis à la négociation sur un marché réglementé, le professionnel identifie en tant que BE le « dirigeant principal » de la société titulaire du compte ; il appose en marge de la documentation dudit BE le nom du marché réglementé de la société cotée qui détient la société cliente.

2.3.5 Cas des syndics de copropriété (NEW)

Conformément aux prescriptions de la loi du 16 mai 1975 portant statut de la copropriété des immeubles bâtis, les copropriétaires sont obligatoirement regroupés en un syndicat (syndic de copropriété), agissant en tant que représentant légal de la communauté des copropriétaires.

Le plus souvent, les syndics sont dotés de la personnalité juridique, enregistrés au Registre du Commerce de Luxembourg, ainsi soumis à la loi du 13 janvier 2019 instituant un registre des bénéficiaires effectifs.

QUE FAIRE ?

En quête des bénéficiaires effectifs des syndics, certains professionnels constatent parfois que ceux-ci ont tendance à faire valoir que les copropriétaires de l’immeuble devraient être désignés comme bénéficiaires effectifs des syndics, indiquant que le rôle des syndics ne consiste qu’à’ exécuter des décisions au nom des copropriétaires.

Même si la décision du syndic est prise en assemblée générale des copropriétaires, et malgré le fait qu’un conseil syndical surveille hypothétiquement le syndic, c’est le syndic qui exploite seul et contrôle le compte bancaire, les copropriétaires n’ayant rien à dire dans la gestion du compte bancaire du syndic.

Conformément à la définition du bénéficiaire effectif telle qu’elle figure à l’article 1, paragraphe (7), point a), (ii) de la loi du 12 novembre 2004, dans le cas des sociétés, le syndicat étant une personne morale, « la personne physique qui occupe la position de dirigeant principal » doit être désignée comme bénéficiaire effectif du syndic.

2.3.6 Cas particulier des ONG

L’évaluation nationale des risques en matière de blanchiment considère que les ONG présentent un risque inhérent élevé ; celles-ci sont en effet susceptibles d’être utilisées pour le financement d’actes terroristes.

Le professionnel adopte une approche prudente dans l’identification du BE d’une ONG en tenant dûment compte de sa structure juridique, de la nature de ses activités et de la relation d’affaires qu’elle entend entretenir avec le professionnel.

2.4 Le BE des fiducies et des trusts et autres constructions juridiques similaires

2.4.1 Fiducies et trusts

Le professionnel doit identifier le BE et prendre « des mesures raisonnables pour vérifier son identité (, de telle manière que le professionnel ait l’assurance de connaître ledit BE, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ». 

Les informations que le fiduciaire luxembourgeois devra par ailleurs recueillir sur le BE d’une fiducie soumise à la loi luxembourgeoise du 27 juillet 2003 relative au trust et aux contrats fiduciaires afin d’alimenter un registre créé à cet effet, figurent dans la loi du 10 août 2018 relative aux informations à obtenir et à conserver par le professionnel agissant en qualité de fiduciaire.

Au cas où le « trustee »/ fiduciaire est une personne morale, le professionnel se réfère aux orientations « ABBL CRS – related FAQs » relatives au test du dirigeant principal  («senior managing official test »).

Dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale, l’application du principe du dirigeant principal s’applique dans le cas d’un «corporate trustee » (fiduciaire personne morale) détenant un contrôle/une participation majoritaire dans une entité non financière passive. 

Par analogie, le professionnel identifie ainsi le « dirigeant principal » du trustee personne morale tout en cherchant à disposer d’informations suffisantes sur toute la chaîne de détention en cas d’interposition de structures sociétaires afin de procéder aux analyses de notoriété.

« Les pays devraient prendre des mesures pour empêcher l’utilisation des constructions juridiques à des fins de blanchiment de capitaux ou de financement du terrorisme. En particulier, les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les trusts exprès, parmi lesquelles des informations sur le constituant, le trustee et les bénéficiaires, peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes (…) ».

Concernant l’obligation d’identification des « bénéficiaires effectifs » des trusts/fiducies, tout particulièrement de droit étranger, on note que les éléments d’identification du fiduciaire, du constituant (settlor), du protecteur le cas échéant et du/(des) bénéficiaire(s) se situent dans l’acte constitutif du Trust/ contrat fiduciaire.

Les trusts et fiducies peuvent couvrir des situations extrêmement diverses et les exigences documentaires seront différentes en fonction de la variété des situations

Le professionnel doit être conscient du fait que les comptes clients établis au nom d’un trust/fiducie pourraient servir à contourner les procédures d’identification de la clientèle. Pour cette raison, la compréhension de la véritable nature de la relation d’affaires est essentielle. Il convient de rechercher si le client se fait passer pour un autre, s’il sert de « couverture » ou s’il agit au nom d’un tiers en qualité d’intermédiaire. À cette fin, il est utile de demander des justificatifs de l’identité des intermédiaires et personnes au nom desquels il agit ainsi que des précisions concernant la nature de la fiducie / du trust. La constitution d’un trust/fiducie est habituellement, mais pas systématiquement, consignée par écrit sous la forme d’un acte fiduciaire / trust deed. 

Le professionnel s’efforce d’obtenir la liste des apporteurs de fonds et des bénéficiaires effectifs au moyen de l’acte constitutif du trust/fiducie ou par tout autre moyen permettant de donner raisonnablement foi aux informations qui lui sont communiquées. La difficulté tient essentiellement à l’identification des bénéficiaires effectifs, la « letter of wishes » ne lui étant généralement pas communiquée. La « letter of wishes » est le document par lequel le constituant du trust ou de la structure fiduciaire désigne les bénéficiaires finaux et les modalités de distribution du patrimoine.

La situation la plus simple est celle de l’ouverture du compte au nom du trustee, personne physique, mais il arrive souvent que le compte soit ouvert au nom d’une structure juridique, généralement une personne morale située dans un pays dit « offshore ».

Il se peut que, dans certaines structures fiduciaires, les bénéficiaires ne puissent pas être nominativement désignés car ils sont en devenir (enfants à naître) ou en raison du fait que le bénéfice est subordonné à la réalisation d’évènements déterminés. Dans une telle hypothèse, il serait suffisant de déterminer le « groupe de personnes »/ catégorie de bénéficiaires ainsi désigné. Cette exigence ne devrait pas impliquer l’identification de chaque individu formant ce groupe de personnes.

2.4.2 Les bénéficiaires effectifs des fondations / constructions juridiques similaires à des fiducies/trust

« Pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, (le professionnel identifie) toute personne physique occupant des fonctions équivalentes ou similaires à celles (de constituant, fiduciaire/trustee, bénéficiaires ou toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie/trust par propriété directe ou indirecte ou par d’autres moyens)».

2.5 Cas de la personne physique « pour laquelle une transaction est réalisée »

Est aussi considéré BE selon la Loi « toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée ».

Cette situation concerne le cas de « l’homme de paille », appelé à couvrir de son nom les opérations réalisées pour le compte d’une tierce personne qui souhaite conserver l’anonymat, souvent dans un but illicite.

Cela pourrait également concerner, par exemple, la situation où le gardien d’une propriété, appartenant à une personne physique étrangère non-résidente, ouvre auprès d’un établissement de crédit un compte à son nom afin d’y domicilier exclusivement les opérations concernant les frais d’entretien de ladite propriété. Le compte est alimenté par des virements en provenance du propriétaire. Dans ce cas, le client est le gardien de la propriété et bénéficiaire effectif le propriétaire.

Dans l’hypothèse où des structures d’investissement (« special purpose vehicles »), par ex. SOPARFIs, sociétés de titrisation, fonds d’investissement spécialisé, sont mis en place à l’initiative d’une personne qui ne détient pas plus de 25% du capital dans cette structure, mais en retire néanmoins la plupart des bénéfices, le professionnel tente d’identifier/vérifier l’identité de cette personne comme BE (approche « bottom-up »).

Dans le cadre d’un fonds de titrisation non agréé par exemple (« SPV securitisation »), géré par une société de gestion, les investisseurs seront titulaires de parts de copropriété du fonds (recevant la qualification de « valeurs mobilières » quand bien même le fonds n’a pas de personnalité morale). Ces investisseurs recevront de manière récurrente les intérêts qui leur sont dus. Ainsi, ces investisseurs devraient être considérés comme BE de la structure de titrisation mise en place.

III – Les mesures d’identification et de vérification de l’identité à l’égard des bénéficiaires effectifs

La 4ème directive anti-blanchiment telle que modifiée impose que certaines informations sur les bénéficiaires effectifs des sociétés et des fiducies soient mises à disposition dans des registres auxquels les professionnels auront accès. Le professionnel pourra, outre les informations reçues par son client, consulter les registres établis dans les États Membres afin de conforter les informations qui lui ont été remises par son client.

1. Mesures d’identification

« Sans préjudice des obligations renforcées de vigilance ou l’application de mesures de vigilance simplifiées, le cas échéant, l’identification des bénéficiaires effectifs (…) porte sur le(s) nom(s), prénom(s), nationalité(s), date et lieu de naissance et leur adresse ainsi que sur l’adresse postale complète de la résidence principale. D’après l’appréciation du professionnel, elle inclura aussi le numéro d’identité national officiel ».

2. Mesures de vérification

« La vérification de ces données (des bénéficiaires effectifs) s’effectuera, notamment, au moyen des informations obtenues auprès du client, des registres centraux au sens des articles 30 paragraphe 3 et 31 paragraphe 3bis de la directive (UE) 2015/849 ou de toute autre source indépendante et fiable disponible.

Le seul recours aux registres centraux tel que mentionné ci-dessus ne constitue pas un moyen suffisant afin de remplir les obligations de vigilance, le professionnel prendra donc Le professionnel prendra toutes mesures raisonnables afin d’acquérir l’assurance de connaître l’identité réelle du bénéficiaire effectif. Le caractère raisonnable de ces mesures est déterminé, notamment, en fonction du niveau de risque de blanchiment ou de financement du terrorisme que le professionnel estime associé au profil du client ou à la nature de la relation d’affaires ou de la transaction souhaitée par le client ».

L’accès des professionnels au Registre des bénéficiaires effectifs (des sociétés) instauré par la loi du 13 janvier 2019 permettra d’obtenir des informations sur certaines entités immatriculées au Registre du commerce et des sociétés de Luxembourg à partir du 1er Septembre 2019, étant entendu que la Loi précise que les professionnels ne s’appuient pas exclusivement sur des registres centraux pour remplir leurs obligations de vigilance à l’égard de la clientèle.

Aux fins de la vérification de l’identité des bénéficiaires effectifs, le professionnel se réfère aux exemples de documents eu égard à l’identification du client personne physique.  

A défaut de prescriptions légales ou réglementaires plus détaillées, le professionnel garde une discrétion assez importante quant au choix de documentation utilisée aux fins de la vérification de l’identité du BE.

L’obligation d’obtenir une déclaration de BE signée par le(s) BE ou ses représentants figure dans le Règlement CSSF n°12-02 ; le professionnel sera bien avisé de pérenniser cette pratique (voir art.17 du Règlement CSSF).

Pour information, eu égard aux « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale, les personnes qui « détiennent le contrôle » d’une entité et qui doivent faire l’objet d’une déclaration au sens de la loi du 18 décembre 2015 doivent renseigner leur « nom, l’adresse, la ou les juridiction(s) de résidence et le ou les NIF et les date et lieu de naissance (…) ».

« Les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les bénéficiaires effectifs et sur le contrôle des personnes morales peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes. En particulier, les pays dans lesquels les personnes morales peuvent émettre des actions au porteur ou des bons de souscription d’actions au porteur, ou qui autorisent les actionnaires ou administrateurs agissant pour le compte d’une autre personne (nominee shareholders or nominee directors), devraient prendre des mesures efficaces pour s’assurer qu’elles ne sont pas détournées à des fins de blanchiment de capitaux ou de financement du terrorisme. Les pays devraient envisager de prendre des mesures pour faciliter l’accès aux informations sur les bénéficiaires effectifs et sur le contrôle des personnes morales par les institutions financières (…) ».

3. Cas particulier des parts au porteur

Dans le cadre de relations d’affaires impliquant des « nominees », le professionnel demande à ces derniers d’obtenir les informations nécessaires à l’identification du BE des titres (c.à.d. la personne physique qui est propriétaire des titres détenus par le représentant/nominee).

Sous-section 3. Obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires, en ce inclus l’origine des fonds

Les mesures de vigilance à l’égard de la clientèle comprennent « l’évaluation la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations (par le professionnel) sur l’objet et la nature envisagée de la relation d’affaires ».

1   Appréciation sur la relation d’affaires

Cette obligation vient en sus de l’obligation d’identification des clients / bénéficiaires effectifs et est tout aussi primordiale en ce qu’elle permet au professionnel d’aller au-delà d’une simple identification/vérification documentaire ; le professionnel va ainsi apprécier la nature des risques inhérents à sa relation avec le(s) client(s).

QUE FAIRE ?

La relation entre un professionnel financier et son client s’établit « intuitu personae ». L’étendue de la documentation demandée au client doit être fonction de la façon dont, et des circonstances dans lesquelles, l’entrée en relation s’est effectuée et des facteurs de risque liés au client.

Une fiche, dite « fiche profil », répertoriant un certain nombre de renseignements à obtenir du client est utilisée par le professionnel. Cette fiche doit permettre de parvenir à une connaissance aussi exhaustive que possible du client et, à ce titre, n’a pas à être approuvée par ce dernier. Il est recommandé d’appliquer ce type de fiche tant aux nouveaux clients qu’aux clients existants. Cette fiche doit également être mise à jour au fur et à mesure de l’évolution de la relation.

2 – L’origine des fonds 

Le professionnel acquerra toutes les informations nécessaires sur l’origine des fonds du client :

« L’obligation des professionnels de connaître leur client comprend celle de recueillir (…), d’enregistrer, d’analyser et de comprendre, au moment de l’identification du client, des informations sur l’origine des fonds du client et les types de transactions pour lesquelles le client sollicite une relation d’affaires, ainsi que toutes les informations adéquates permettant de déterminer la finalité de la relation d’affaires envisagée dans le chef du client (…). Ces informations devront permettre au professionnel d’exercer une vigilance constante effective à l’égard du client (…) En fonction de l’appréciation des risques, cette obligation peut comprendre l’obligation d’obtenir des pièces probantes».

Afin d’accroître la plausibilité de l’origine des fonds, le professionnel doit vérifier la cohérence entre leur origine opérationnelle et l’origine économique indiquée par le client.

Tout document pertinent permettant de corroborer les dires du client, notamment en ce qui concerne la provenance des fonds, doit être conservé avec la documentation d’entrée en relation.

Le professionnel vérifie et consigne :

        a) l’origine opérationnelle des fonds (cartes, virements, autres moyens de transfert)

        b) l’origine géographique des fonds (pays tiers, pays de l’EEE, pays présentant des carences dans la lutte contre le blanchiment)

        c) l’origine économique des fonds (salaires, revenus de capitaux mobiliers,  succession).

Le professionnel a une obligation de moyens de déterminer l’origine économique des fonds de son client. Les informations suivantes peuvent être utiles ou même nécessaires et sont dès lors à documenter par la personne procédant à l’entrée en relation 

– situation de famille 

– situation de fortune 

– relations ou personnes de contact 

– description de l’activité professionnelle 

– autres sources de revenus 

– but de la relation d’affaires 

– origine des fonds 

– appréciation générale 

– entrée en relation pour son propre compte ou pour compte d’autrui

– toute autre information pertinente, pour des cas spécifiques, nécessaires à la connaissance du client (…).

L’ensemble des informations et documents ainsi obtenus, et le bon sens commun, doivent permettre au teneur de compte de porter un jugement concret quant à l’opportunité d’établir ou non une relation avec un client. Dans la mesure où le client présente des particularités, des incohérences ou des risques spécifiques, le professionnel obtiendra des pièces ou informations pertinentes supplémentaires afin d’atténuer les risques en jeu. 

Afin d’assurer le respect des obligations issues d’autres dispositions légales ou réglementaires (abus de marché, gestion des conflits d’intérêts), le professionnel veillera à obtenir un certain nombre d’informations supplémentaires relatives au client et plus particulièrement son activité professionnelle.

Sous-section 4. Exercice d’une vigilance constante de la relation d’affaires et tenue à jour des documents, données ou informations détenues

1 . Considérations générales

L’exercice de la vigilance constante telle qu’imposée par la Loi est centrée autour de trois axes, comprenant pour le professionnel l’obligation d’effectuer : 

un contrôle transactionnel

 – une revue permanente (« event driven ») de la relation d’affaires

une revue périodique de la relation d’affaires.

Le suivi du client en fonction du risque doit s’appuyer soit sur un processus de contrôle permanent basé sur le niveau de risque de chaque client et mettant en évidence tout comportement inhabituel, soit au travers d’un réexamen périodique également fonction du niveau de risque du client. Ce suivi se base sur la comparaison de la fiche profil avec les opérations effectuées par le client (contrôle transactionnel).

Le profil d’un client est susceptible de changer au cours du temps. C’est la raison pour laquelle, afin de s’assurer que ses données sont d’actualité, il est recommandé aux professionnels de procéder à une réévaluation des données qu’ils ont collectées au moment de l’entrée en relation d’affaires. En particulier, lorsqu’un client a été accepté et qu’il apparaît ultérieurement que ce client ou le BE est une personne politiquement exposée ou le devient, le maintien de la relation d’affaires devrait, le cas échéant, être soumis à l’autorisation d’un niveau élevé de la hiérarchie.

Cette révision peut notamment avoir lieu à l’occasion d’une transaction significative, d’une modification substantielle des normes de documentation sur la clientèle ou d’un changement important dans le mode de gestion du compte, ou à tout autre moment si un professionnel réalise qu’il manque d’informations au sujet d’un client existant.

Certaines circonstances (changements d’actionnaires, changement de mandataire, fonctionnement inhabituel du compte, par exemple auprès de professionnels dont l’activité normale implique la conservation de fonds de tiers auprès d’un établissement financier, etc.) peuvent indiquer que le BE a pu changer ou que le client n’agit pas ou plus pour son propre compte. Il est recommandé de clarifier la situation dans tous les cas, donc de procéder le cas échéant à une nouvelle identification du BE.

Le professionnel met également en place des mécanismes de contrôle lui permettant, lors de l’acceptation des clients et du suivi des relations d’affaires, de détecter les personnes telles que les PPE / pays au dispositif LBC/FT lacunaire/ personnes visées par des mesures restrictives en matière financière (voir ci-dessous – point 2, b).

Cas particuliers : les comptes dormants et les chèques

Les comptes dormants présentent une certaine particularité qui rend une mise à jour documentaire malaisée. Il est recommandé que les professionnels mettent en place des procédures spécifiques pour la surveillance des comptes dormants et la mise à jour des données relatives aux clients concernés. 

Le fait qu’un compte dormant devienne soudainement actif doit éveiller l’attention du professionnel.

Le traitement des chèques, notamment à endossement multiple, tout comme le traitement des chèques de banque, nécessitent également une attention particulière.

[/messge-box]

2 .  Appréciation sur les transactions et détection des opérations complexes et des transactions inhabituelles

a.  Appréciation générale 

« les mesures de vigilance à l’égard de la clientèle comprennent l’exercice d’une vigilance constante de la relation d’affaires, notamment en examinant les transactions conclues pendant toute la durée de cette relation d’affaires et, si nécessaire, sur l’origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu’a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en s’assurant que les documents, données ou informations détenus obtenus dans l’exercice du devoir de vigilance à l’égard de la clientèle restent à jour et pertinents. A cette fin, les professionnels examinent les éléments existants, et ceci en particulier pour les catégories de clients présentant des risques plus élevés.»

La vigilance constante de la relation d’affaires impose l’examen des transactions effectuées par le client au fil de la relation d’affaires. Cet examen continu des transactions effectué par le client oblige le professionnel, si nécessaire, à collecter des informations sur l’origine des fonds.

b.  Opérations complexes, transactions inhabituelles et mesures restrictives

« Le devoir de vigilance constante (…) inclut au minimum l’obligation de détecter sans délai :

  • (…) les Etats, personnes, entités ou groupes impliqués dans une transaction ou une relation d’affaires qui sont visés par des mesures restrictives en matière financière dans le cadre de la lutte contre le financement du terrorisme, dont notamment celles introduites au Luxembourg par le biais de règlements de l’Union Européenne directement applicables en droit national, ou par l’adoption notamment de règlements ministériels; et
  • les Etats, personnes, entités ou groupes impliqués dans une transaction ou une relation d’affaires qui sont visés par des mesures restrictives en matière financière, dont notamment celles introduites au Luxembourg par le biais de règlements de l’Union Européenne directement applicables en droit national ou, le cas échéant, par l’adoption de textes règlementaires pris au niveau national pour leur exécution. »

Le professionnel a également l’obligation de détecter les Etats, personnes, entités et groupes visés par des mesures restrictives en matière financière par rapport aux actifs qu’il gère et de s’assurer que les fonds ne seront pas mis à disposition de ces Etats, personnes, entités ou groupes.

En cas de détection de personnes, entités ou groupes visés au présent article, (…)  le professionnel est tenu sans délai d’appliquer les mesures restrictives requises et d’informer les autorités compétentes en matière de sanctions financières. Copie de cette communication est à adresser en même temps à la CSSF ».

Une liste de liens aux listes de personnes, entités et groupes concernés est disponible dans l’annexe III, partie B infra.

« (…) le professionnel doit veiller à ce que le système interne utilisé pour ce contrôle ou mis à disposition par un prestataire de services externe auquel il a recours pour les besoins de ce contrôle, est adapté sans délai afin de pouvoir respecter ses obligations (…) ».

L’obligation d’exercer une vigilance constante de la relation d’affaires impose que soient « notamment soumises une attention particulière les transactions qui dépassent certains montants, les mouvements d’une ampleur très élevée sur un compte incompatible avec le montant du solde ou encore des transactions qui sortent du schéma normal des mouvements du compte ».

« Les professionnels sont tenus d’examiner dans toute la mesure du possible le contexte et l’objet de ces transactions, de consigner les résultats de ces examens par écrit et de conserver ces pièces conformément à (…) la Loi et de les garder à la disposition des autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme et des réviseurs d’entreprises pendant au moins cinq ans, sans préjudice des délais de conservation plus longs prescrits par d’autres lois ».

« Au titre de la vigilance constante des professionnels(…), les professionnels sont tenus de détecter les opérations complexes ou transactions inhabituelles (…) en tenant compte, notamment de:

  • l’importance des entrées et sorties de valeurs patrimoniales et du volume des montants impliqués. Sont également visées les transactions impliquant des montants faibles mais à fréquence anormalement élevée ;
  • l’existence de divergences par rapport à la nature, au volume ou à la fréquence des transactions normalement effectuées par le client dans le cadre de la relation d’affaires concernée ou l’existence de divergences par rapport à la nature, au volume ou à la fréquence des transactions habituellement pratiquées dans le cadre de relations d’affaires comparables ;
  • l’existence de divergences par rapport aux déclarations faites par le client lors de la procédure d’acceptation par rapport à l’objet et à la nature de la relation d’affaires, notamment en ce qui concerne la provenance ou la destination des fonds impliqués ».

1) « Les professionnels doivent disposer de procédures et mettre en place des mécanismes de contrôle leur permettant, lors de l’acceptation des clients et du suivi des relations d’affaires, de détecter notamment : (…)

– les personnes telles que visées aux articles 30, 31 et 33 (du Règlement CSSF n°12-02) (c.-à-d. les PPEs, les clients des pays à haut risque et les personnes visées par des mesures restrictives en matière financière).

–  les fonds en provenance ou à destination des Etats, personnes, entités ou groupes (…) impliqués dans une transaction ou une relation d’affaires qui sont visés par des interdictions/mesures restrictives en matière financière dans le cadre de la lutte contre le blanchiment et le financement du terrorisme ou  de pays/territoires dont le dispositif LBC/FT est jugé comme insuffisant.

–  les opérations complexes ou transactions inhabituelles (en tenant compte notamment de l’importance des entrées et sorties de valeurs patrimoniales, de l’existence de divergences par rapport à la nature/volume/fréquence des transactions normalement effectuées par le client et par rapport aux déclarations faites par le client lors de la procédure d’acceptation).

–  un transfert de fonds avec informations manquantes ou incomplètes au sens du Règlement EU 2015/847) ».

(2) « La mise en place d’une base de données clientèle complète et à jour fait partie intégrante de ce dispositif de surveillance. En cas d’encodage par une personne physique du professionnel, ce travail devra subir un contrôle suivant le principe des quatre yeux (« 4-eyes principle»).  Ce dispositif de surveillance doit couvrir l’intégralité des comptes des clients et de leurs transactions et doit viser tant les clients, les  personnes prétendant agir pour le compte du client, les initiateurs et bénéficiaires effectifs que, dans le cadre de la surveillance des  transferts de fonds, le donneur d’ordre d’un transfert de fonds entrant et le destinataire d’un transfert de fonds sortant du compte d’un client. Il doit tenir compte des risques identifiés par le professionnel pour ce qui le concerne en fonction, notamment, des caractéristiques de son activité et de sa clientèle. Il doit être automatisé, sauf si le professionnel peut démontrer que le volume et la nature des clients et des transactions à surveiller ne requièrent pas une telle automatisation ».

(3) « Les recherches de détection effectuées à l’aide du dispositif de surveillance doivent être dûment documentées, y compris dans les hypothèses où elles ne donnent pas de résultats positifs ».

(4) « Les transactions ou personnes détectées, ainsi que les critères ayant conduit à leur détection, doivent faire l’objet de rapports écrits. Ces rapports doivent être transmis au responsable du contrôle aux fins requises, notamment, au vu du respect de l’article 5 de la Loi. Le professionnel doit préciser par écrit la procédure relative à la transmission des rapports écrits au responsable du contrôle, incluant les délais de transmission requis ».

(5) « Le dispositif de surveillance doit permettre au professionnel de prendre rapidement les mesures requises en cas de détection d’une activité ou transaction suspecte, le cas échéant, de manière automatique. Le responsable du contrôle sera seul compétent pour décider de l’application et de l’envergure de ces mesures ainsi que de leur levée, le cas échéant, en concertation avec la direction et le responsable du respect».

(6) « Le dispositif de surveillance doit faire l’objet d’une validation initiale au moins par le responsable du respect et d’un contrôle régulier par le responsable du contrôle en vue de l’adapter, au besoin, à l’évolution des activités, de la clientèle et des normes et mesures en matière de LBC/FT ».

Le professionnel doit veiller à ce que ses employés signalent les transactions anormales et suspectes et que, selon les procédures internes propres à chaque professionnel, celles-ci soient consignées par écrit par les personnes en charge de la fonction compliance  (notamment le responsable du contrôle du respect des obligations professionnelles –  « RC »), quand bien même il n’aurait pas été jugé opportun de procéder à une déclaration aux autorités.

3.  Activités requérant une attention particulière

« Dans le cadre de la vigilance constante, constituent notamment des activités requérant une attention particulière (…)

  • les activités des clients dont l’acceptation a été soumise à un examen spécifique (…) (acceptation des clients susceptibles de présenter des niveaux élevés de risque) ; ainsi que
  • les transferts de fonds au sens du Règlement (UE) 2015/847 et les exigences respectives précisées dans ce dernier règlement (…) ».

4. Mise à jour des documents et informations

« Le devoir de vigilance constante inclut l’obligation de vérifier et, le cas échéant, de mettre à jour, en conformité avec le délai maximal prévu par, et en tenant compte des moments opportuns précisés à, l’article 1 paragraphe 4 du Règlement grand-ducal (c.-à-d. au moins tous les sept ans, sans préjudice d’une fréquence plus importante en fonction de l’appréciation des risques), dans un délai adéquat déterminé par le professionnel en fonction de son évaluation des risques, les documents, données ou informations collectés lors de l’accomplissement des obligations de vigilance à l’égard de la clientèle (…) ».

«Pour ce qui concerne les relations d’affaires à risque élevé, la fréquence de revue doit être au moins annuelle ».

« Les professionnels sont tenus de documenter, tenir à jour et mettre à disposition des autorités de contrôle et des organismes de régulation les évaluations des risques (…). Les autorités de contrôle et les organismes d’autorégulation peuvent décider que certaines évaluations des risques individuelles documentées ne sont pas obligatoires si les risques spécifiques inhérents au secteur sont clairement identifiés et compris ».

Quant à l’obligation de tenir à jour les documents, données ou informations détenus, le professionnel doit faire une révision de ses clients et des documents (…), surtout ceux qui sont essentiels à la relation d’affaires et à la connaissance du client, à un intervalle qu’il détermine en fonction du risque associé à chaque client et du risque que comporte la relation d’affaires. Le règlement CSSF n°20-05 et le Règlement grand-ducal du 14 août 2020 sont venus apporter des précisions supplémentaires relatives à la mise à jour les données collectées par le professionnel. Cette mise à jour doit s’effectuer :

Au minimum tous les 7 ans

Plus fréquemment si la situation l’impose compte tenu de l’approche fondée sur les risques

Au minimum annuellement pour les relations d’affaires à risque élevé

Suite à cette révision, les documents précités doivent être mis à jour si le professionnel constate des changements par rapport à la vérification précédente (par ex. modification des statuts, carte d’identité périmée).

« Lors de la revue et de la mise à jour des documents, données et informations relatives aux clients, le professionnel peut tenir compte de diverses sources d’informations, entre autres :

– des données et informations pertinentes dans le domaine public,

– du rapport national d’évaluation des risques BC/FT du pays du client,

– des rapports d’évaluation mutuelle du pays du client en matière de LBC/FT,

– d’autres informations obtenues à partir d’une source fiable et indépendante.

Des mesures internes de suivi doivent être arrêtées pour les cas pour lesquels le professionnel ne peut pas respecter les délais de mise à jour de la documentation ».

5.  La conservation des documents et la protection des données à caractère personnel 

1 Conservation des documents

« Les professionnels sont tenus de conserver et mettre rapidement à disposition les documents, données et informations ci-après aux fins de prévention et de détection d’un éventuel blanchiment de capitaux ou d’un éventuel financement du terrorisme et des enquêtes en la matière par les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme ou par les organismes d’autorégulation :

a) en ce qui concerne les mesures de vigilance à l’égard de la clientèle, une copie des documents et informations qui sont nécessaires pour se conformer aux obligations de vigilance à l’égard de la clientèle prévues aux articles 3-3, y compris, le cas échéant, les données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance pertinents prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales compétentes, les livres de comptes, la correspondance commerciale, ainsi que les résultats de toute analyse réalisée, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel;

b)les pièces justificatives et les enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions individuelles afin de fournir, si nécessaire, des preuves dans le cadre d’une enquête ou instruction pénale, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel ».

« La période de conservation visée au présent paragraphe, y compris la période de conservation prolongée qui ne dépasse pas cinq années supplémentaires, s’applique également en ce qui concerne les données accessibles par l’intermédiaire des mécanismes centralisés visés à l’article 32bis de la directive (UE) 2015/849 ».

« Les professionnels sont également tenus de conserver les informations relatives aux mesures qui ont été prises afin d’identifier les bénéficiaires effectifs (…).

Sans préjudice des délais de conservation plus longs prescrits par d’autres lois, les professionnels sont tenus d’effacer les données à caractère personnel à l’issue des périodes de conservation visées à l’alinéa 1er. (…).

Par dérogation à l’alinéa 4, les professionnels conservent les données à caractère personnel pendant une période supplémentaire de cinq ans lorsque cette conservation est nécessaire pour la mise en œuvre efficace des mesures internes de prévention ou de détection des actes de blanchiment de capitaux ou de financement du terrorisme ».

2 – Respect des règles relatives à la protection des données 

Concernant la compatibilité de la règle de la conservation des documents liés aux transactions financières 5 ans après la fin de la relation d’affaires avec le client avec le règlement européen sur la protection des données (UE) 2016/679 (RGPD), il convient de considérer que la licéité du traitement des données personnelles réside dans le  « respect d’une obligation légale à laquelle le responsable de traitement est soumis ».

A) Information des personnes concernées et avertissement général

– Le client :

« Les professionnels communiquent aux nouveaux clients les informations requises en vertu des articles 13 et 14 du RGPD avant de nouer une relation d’affaires ou d’exécuter une transaction à titre occasionnel.

Ces informations contiennent en particulier un avertissement général concernant les obligations légales des professionnels au titre de la présente loi en ce qui concerne le traitement des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».

– L’avertissement général :

L’avertissement général contiendra notamment  les informations précontractuelles à fournir aux clients/personnes concernées telles que renseignées dans les orientations ABBL intitulées « Steps forward in implementing the GDPR ». En sus, il renverra aux obligations professionnelles telles que contenues dans la Loi et auxquelles le professionnel est assujetti ; la licéité du traitement des données du client concordant avec le respect d’une obligation légale à laquelle le professionnel (« responsable du traitement ») est soumis.

–  Le bénéficiaire effectif :

Le professionnel ne collectant qu’indirectement l’information du BE par le biais de son client, il n’aura pas à informer le BE de par l’exception figurant dans le RGPD.

– L’information des bénéficiaires effectifs :

Quant à l’information préalable à fournir au(x) bénéficiaire(s) effectif(s), étant avant tout  entendu que les mesures de vigilance à l’égard de la clientèle imposent au professionnel d’identifier et de vérifier l’identité du(des) bénéficiaire(s) effectif(s) de par la Loi, et que ces informations n’auront pas été collectées par le professionnel auprès de ce(s) dernier(s), le professionnel n’aura pas à l’en/les informer :

L’information préalable n’est pas à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée « dans la mesure où (…) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ».

De surcroît, les politiques de protection des données de certains établissements financiers indiquent qu’il appartient à leurs clients d’informer le cas échéant leurs bénéficiaires effectifs quant à un traitement utilisant les données personnelles de ces derniers.

On peut également noter que la Loi considère le traitement de données à caractère personnel comme une question d’intérêt public au sens du RGPD.

B) Restriction au droit d’accès

« () le responsable de traitement limite ou diffère l’exercice du droit d’accès de la personne concernée aux données à caractère personnel la concernant lorsqu’une telle mesure est nécessaire et proportionnée pour :

a) permettre au professionnel, à la CRF, à une autorité de contrôle ou à un organisme d’autorégulation d’accomplir ses tâches comme il convient aux fins de la présente loi (…) »              b) éviter de faire obstacle aux demandes de renseignements, analyses, enquêtes ou procédures à caractère officiel ou judiciaire, menées aux fins de la présente loi et pour ne pas compromettre la prévention et la détection des cas de blanchiment de capitaux ou de financement du terrorisme ni les enquêtes en la matière».

Pour mémoire, le RGPD permet à l’État membre de limiter les droits des « personnes concernées » dans certains cas de figure, par ex. « dans le cadre de la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».