CHAMP D’APPLICATION PERSONNEL
Section 1. Les professionnels du secteur financier exerçant au Luxembourg
La Loi s’applique notamment aux « établissements de crédit et professionnels du secteur financier (PSF) agréés ou autorisés à exercer leur activité́ au Luxembourg en vertu de la loi modifiée du 5 avril 1993 relative au secteur financier (…)», aux établissements de paiement, aux établissements de monnaie électronique ainsi qu’aux « agents liés tels que définis à l’article 1er de la loi modifiée du 5 avril 1993 relative au secteur financier et les agents tels que définis à l’article 1er de la loi du 10 novembre 2009 relative aux services de paiement établis au Luxembourg ».
Le cercle des personnes soumises aux obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme est désormais étendu à toute personne exerçant l’activité de Family Office, aux personnes exerçant à titre professionnel au Luxembourg l’activité d’un prestataire de services aux sociétés et fiducies, aux prestataires de services de jeux d’argent et de hasard ainsi qu’ aux huissiers de justice.
La loi du 25 mars 2020 transposant la 5ème directive (UE) 2018/843 a élargi la liste des professionnels assujettis notamment aux prestataires de services d’actifs virtuels ainsi qu’aux prestataires de conservation ou d’administration.
Section 2. Application des obligations professionnelles aux filiales et succursales à l’étranger des professionnels exerçant au Luxembourg
1. Principe général
« Les institutions financières devraient être obligées de mettre en œuvre des programmes de LBC/FT. Les groupes financiers devraient être obligés de mettre en œuvre des programmes de LBC/FT à l’échelle du groupe, y compris des politiques et procédures de partage des informations au sein du groupe aux fins de LBC/FT. Les institutions financières devraient être obligées de s’assurer que leurs succursales et filiales majoritaires à l’étranger appliquent, au moyen des programmes du groupe financier contre le blanchiment de capitaux et le financement du terrorisme, des mesures de LBC/FT conformes aux obligations du pays d’origine mettant en œuvre les recommandations du GAFI ».
« Politiques et Procédures à l’échelle du groupe :
Les professionnels qui font partie d’un groupe sont tenus de mettre en œuvre des politiques et des procédures à l’échelle du groupe, notamment des politiques de protection des données, ainsi que des politiques et des procédures relatives au partage des informations au sein du groupe aux fins de la lutte contre le blanchiment et contre le financement du terrorisme. Ces politiques et procédures doivent être mises en œuvre efficacement et de manière adaptée, en tenant compte notamment des risques de blanchiment et de financement du terrorisme identifiés et de la nature, des particularités, de la taille et de l’activité des succursales et filiales, au niveau des succursales et des filiales détenues majoritairement et établies dans les États membres et dans des pays tiers ».
« Les politiques et procédures à l’échelle du groupe incluent :
– les politiques, contrôles et procédures prévus à l’article 4, paragraphes (1) et (2) ;
– la mise à disposition, dans les conditions de l’article 5, paragraphes (5) et (6), d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la lutte contre le blanchiment et contre le financement du terrorisme, aux fonctions de conformité, d’audit et de lutte contre le blanchiment et contre le financement du terrorisme au niveau du groupe. Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF. De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe ; et
– des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations ».
La directive (UE) 2013/34 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises définit le terme « groupe » comme « une entreprise mère et l’ensemble de ses entreprises filiales ».
Pour les établissements de crédit et les entreprises d’investissement tombant dans le champ dudit règlement, on note que le Règlement (UE) 575/2013 définit les termes de maison mère, filiale et succursale.
Le professionnel devra donc, en concertation avec ses filiales/succursales basées à l’étranger, définir une politique de groupe qui devra être mise en œuvre par ces dernières, quand bien même il existerait des différences/spécificités nationales dans le cadre juridique de la lutte contre le blanchiment d’argent sur les territoires où sont basées ces filiales/succursales.
Dans la mise en place de cette politique de groupe, le professionnel tiendra dûment compte des dispositions relatives à « l’obligation au secret professionnel » telles que renseignées à l’article 41 de la loi du 5 avril 1993 relative au secteur financier.
Par ailleurs, si un échange de données personnelles implique un transfert de celles-ci depuis un professionnel établi au Luxembourg vers une entité implantée dans un pays tiers et qui ne fait pas l’objet d’une décision d’adéquation de la Commission européenne, ce transfert de données ne peut avoir lieu que s’il présente les « garanties appropriées » indiquées à l’article 46 du Règlement général sur la protection des données.
Ainsi, le professionnel utilisera notamment les instruments juridiques prévus à cet effet tels que les règles d’entreprises contraignantes (« Binding corporate rules ») ou des clauses types de protection des données adoptées par la Commission européenne, sinon par une autorité de contrôle.
La loi du 25 mars 2020 a introduit l’article 4-1, para I, point (b) dans la Loi permettant aux professionnels des établissements de crédit/financiers d’États membres faisant partie d’un même groupe d’échanger des informations clients/comptes/opérations entre les entités du groupe (en ce inclus les succursales/filiales détenues majoritairement et situées dans des États tiers), s’agissant ici uniquement d’informations nécessaires aux fins de LBC, tout particulièrement celles relatives aux transactions ou activités inhabituelles ou au fait qu’une déclaration d’opération suspecte a été transmise à la cellule de renseignement financier .
1.1 Dans un État membre
« Les professionnels qui exploitent des établissements dans un autre État membre veillent à ce que ces établissements respectent les dispositions nationales de cet autre État membre transposant la directive (UE) 2015/849 ».
Une succursale/filiale établie dans un autre État membre se devra de respecter les dispositions nationales de cet État membre d’accueil transposant la 4ème directive anti-blanchiment telle que modifiée.
1.2 « A l’étranger » : dans un État tiers
« Les professionnels sont tenus d’appliquer des mesures au moins équivalentes à celles prescrites (…) par la directive (UE) 2015/849 ou par les mesures prises pour leur exécution en matière d’évaluation des risques, de vigilance à l’égard de la clientèle, de conservation des informations et pièces, d’organisation interne adéquate et de coopération avec les autorités dans leurs succursales et filiales détenues majoritairement situées à l’étranger ».
« Lorsque les normes minimales en matière de lutte contre le blanchiment et contre le financement du terrorisme dans un pays dans lequel un professionnel a des succursales et filiales détenues majoritairement sont différentes de celles applicables au Luxembourg, ces succursales et filiales doivent appliquer la norme la plus rigoureuse, dans la mesure où les textes législatifs et règlementaires du pays d’accueil le permettent ».
« Dans ce contexte, si les normes du pays dans lequel ces succursales et filiales sont situées sont moins strictes que celles prévues au Luxembourg, les règles de protection des données applicables au Luxembourg en matière de lutte contre le blanchiment et contre le financement du terrorisme doivent être respectées », dans la mesure où les textes législatifs et réglementaires du pays d’accueil le permettent.
« Les professionnels doivent veiller plus particulièrement au respect de ce principe s’agissant des succursales et filiales dans les pays à haut risque ».
Ainsi, si le cadre juridique en matière de lutte contre le blanchiment d’une filiale/succursale basée dans un État tiers présente certaines lacunes ou est moins strict qu’à Luxembourg, cette filiale/succursale basée à l’étranger devra mettre en place les règles luxembourgeoises en vigueur.
Les modèles/procédures en matière de gestion des risques, de vigilance à l’égard de la clientèle, de coopération avec les autorités et avec la CRF, de conservation des documents, de contrôle interne, de gouvernance, de fonction d’audit indépendant, de formation devront donc obéir aux règles luxembourgeoises en la matière, en tenant compte par ailleurs des spécificités nationales propres à l’État d’établissement de la succursale/filiale.
2. Filiales et succursales établies dans des pays tiers dont la réglementation ne permet pas d’appliquer les mesures équivalentes
« Si le droit d’un pays tiers ne permet pas de mettre en œuvre les politiques et procédures requises en application du paragraphe 1, les professionnels veillent à ce que leurs succursales et leurs filiales détenues majoritairement dans ce pays tiers appliquent des mesures supplémentaires pour traiter efficacement le risque de blanchiment de capitaux ou de financement du terrorisme, et en informent les autorités de contrôle et organismes d’autorégulation. Si ces mesures supplémentaires sont insuffisantes, les autorités de contrôle et organismes d’autorégulation mettent en œuvre des mesures de surveillance supplémentaires, notamment en exigeant que le groupe n’établisse pas de relations d’affaires ou qu’il y mette fin et qu’il n’effectue pas de transactions et, si nécessaire, en lui demandant de cesser ses activités dans le pays tiers concerné ».
Cette obligation s’avère tout particulièrement pertinente pour les « pays présentant un risque plus élevé » selon le GAFI.
« Les établissements devraient veiller à ce que leurs filiales et leurs succursales adoptent des mesures visant à garantir que leurs opérations respectent le cadre légal et réglementaire local. Si le cadre légal et réglementaire local empêche l’application de procédures et de systèmes de vérification de la conformité plus stricts mis en œuvre par le groupe, notamment s’il empêche la divulgation et l’échange d’informations nécessaires entre entités au sein du groupe, les filiales et les succursales devraient informer le responsable de la conformité ou le directeur de la conformité de l’établissement consolidant ».
Le fait qu’un État tiers qui n’autorise pas la filiale/succursale d’un professionnel luxembourgeois à appliquer le cadre luxembourgeois en matière de lutte contre le blanchiment d’argent, même en présence de mesures supplémentaires palliant à cette interdiction, peut amener celui-ci à se voir interdire d’effectuer des transactions avec la filiale/succursale établie à l’étranger.
Le règlement délégué (UE) 2019/758 de la Commission (normes techniques de réglementation) permet au professionnel de se référer à certaines normes dans les contextes suivants :
(1) examens individuels des risques
(2) partage et traitement des données des clients
(3) divulgation des informations liées aux transactions suspectes
(4) transfert et conservation des données
2.1 Examens individuels des risques LBC/FT
« Lorsque le droit du pays tiers restreint ou interdit l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer correctement les risques de blanchiment de capitaux et de financement du terrorisme liés à une relation d’affaires ou à une transaction conclue à titre occasionnel en raison de restrictions d’accès aux informations pertinentes sur les clients et les bénéficiaires effectifs ou de restrictions sur l’utilisation de ces informations à des fins de vigilance à l’égard de la clientèle » :
Le professionnel veille au moins :
- « à communiquer à l’autorité compétente de l’État membre d’origine, sans délai indu et au plus tard 28 jours calendaires après identification du pays tiers concerné :
- le nom du pays tiers concerné ; et
- la manière dont la mise en œuvre du droit du pays tiers interdit ou restreint l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer les risques de BC/FT liés à un client » ;
- à s’assurer que les filiales ou succursales détenues majoritairement, qui sont établies dans le pays tiers, déterminent si l’accord de leurs clients/bénéficiaires effectifs peut être utilisé pour contourner légalement les restrictions ou interdictions susvisées ;
- à faire en sorte que les filiales ou succursales détenues majoritairement qui sont établies dans le pays tiers exigent de leurs clients, et, le cas échéant, des bénéficiaires effectifs de leurs clients, qu’ils marquent leur accord pour contourner les restrictions et interdictions susvisées, dans la mesure où cela est compatible avec le droit du pays tiers.
Dans les cas où il n’est pas possible de recueillir l’accord du client/des BEs, « les établissements de crédit ou les établissements financiers prennent des mesures supplémentaires ainsi que leurs mesures types de LBC/FT pour gérer les risques de BC/FT ».
EXEMPLES DE MESURES SUPPLEMENTAIRES :
L’article 3 du règlement délégué 2019/758 prévoit qu’au moins deux mesures supplémentaires doivent le cas échéant être prises : la mesure visée à l’article 8 point c) et au moins une des mesures visées aux points a), b), d) e) et f).
Il conviendra donc de prendre nécessairement la mesure suivante :
- effectuer des examens renforcés, et notamment, lorsque cela est proportionné aux risques de BC/FT liés à l’exploitation de la succursale ou de la filiale détenue majoritairement, établie dans le pays tiers, des vérifications sur place ou des audits indépendants, afin de s’assurer que cette succursale ou la filiale évalue et gère efficacement les risques de BC/FT
Cette mesure devra être combinée avec au moins une autre mesure pertinente, tel que par exemple :
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers sollicitent l’approbation des membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier pour l’établissement et le maintien de la relation d’affaires à risque plus élevé, ou pour l’exécution d’une transaction occasionnelle à risque plus élevé ;
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers limitent la nature et le type de produits et services financiers fournis par la succursale/filiale dans le pays tiers à ceux qui présentent un risque faible LBC/FT et qui ont un impact faible sur l’exposition du groupe aux risques LBC/FT ;
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers assurent un contrôle continu renforcé de la relation d’affaires, notamment un contrôle renforcé de la transaction, jusqu’à ce que les filiales et succursales majoritaires considèrent raisonnablement qu’elles comprennent les risques de BC/FT liés à la relation d’affaires.
Si un établissement de crédit ou un établissement financier ne peut gérer de manière efficace les risques de BC/FT en appliquant les mesures stipulées ci-dessus, l’établissement :
- « veille à ce que la filiale/succursale détenue majoritairement cesse la relation d’affaires ;
- veille à ce que la filiale/succursale détenue majoritairement n’exécute pas la transaction conclue à titre occasionnel ;
- met un terme à certaines ou à l’ensemble des activités assurées par sa succursale / filiale détenue majoritairement, établie dans le pays tiers ».
2.2 Le partage et le traitement de données des clients
Il est fait référence au règlement délégué eu égard à l’interdiction/restriction du partage des données du client imposée par l’État tiers et les mesures préconisées y afférentes à accomplir à l’intérieur du groupe sont similaires à celles renseignées supra.
En bref, le professionnel doit :
- informer l’autorité compétente de son État membre d’origine
- obtenir le consentement de son client/BE le cas échéant pour autoriser la transmission d’informations
- prendre si besoin les mesure supplémentaires nécessaires pour surmonter le cas où le recueil du(des) consentement(s) n’est pas possible. Ces mesures supplémentaires comprennent la mesure supplémentaire visée à l’article 8, point a), ou la mesure supplémentaire visée au point c) de cet article.
- Si le risque de blanchiment de capitaux et de financement du terrorisme est suffisant pour nécessiter d’autres mesures supplémentaires, les établissements de crédit et les établissements financiers appliquent une ou plusieurs des autres mesures supplémentaires énoncées à l’article 8, points a) à c).
2.3 Divulgation au sein du groupe des informations liées aux transactions suspectes
« L’interdiction (de communication au client de la divulgation d’informations le concernant à la CRF) ne s’applique pas à la divulgation entre les établissements de crédit et les établissements financiers des États membres, à condition que ceux-ci appartiennent à un même groupe, ni entre ces établissements et leurs succursales et filiales détenues majoritairement situées dans des pays tiers, à condition que ces succursales et filiales détenues majoritairement respectent pleinement les politiques et procédures définies à l’échelle du groupe, y compris les procédures en matière de partage d’informations au sein du groupe, conformément à l’article 4-1 ou à l’article 45 de la directive (UE) 2015/849, et que les politiques et procédures définies à l’échelle du groupe respectent les exigences prévues dans la présente loi ou dans la directive (UE) 2015/849 ».
Cette exception doit être interprétée strictement en ce sens qu’elle n’a vocation à s’appliquer que dans un contexte intra-groupe.
« En ce qui concerne les professionnels qui font partie d’un groupe, ils sont tenus d’inclure dans leurs politiques et procédures à l’échelle du groupe, les politiques, contrôles et procédures prévues (par la Loi) et la mise à disposition (…) d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la LBC/FT, aux fonctions de conformité, d’audit et de LBC/FT au niveau du groupe.
Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF.
De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe. Des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations, doivent être prévues ».
« Les informations concernant des soupçons selon lesquels des fonds proviennent d’un blanchiment, d’une infraction sous-jacente associée ou sont liés au financement du terrorisme qui ont été́ transmises à la CRF sont partagées au sein du groupe, sauf instruction contraire émanant de la CRF ».
2.4 Transfert de données des clients aux États membres dans le cadre de la supervision LBC/FT
« Lorsque le droit du pays tiers interdit ou restreint le transfert de données relatives aux clients d’une succursale ou d’une filiale détenue majoritairement, établie dans un pays tiers, vers un État membre aux fins de la surveillance de la lutte contre le BC/FT (…) », le professionnel doit au moins en informer l’autorité compétente du pays d’origine comme indiqué supra au point 2.1.
Le professionnel, en sus, veille au moins à:
- effectuer des examens renforcés, des vérifications sur place ou des audits indépendants de la filiale/succursale du pays tiers ;
- exiger que la succursale / filiale détenue majoritairement, établie dans le pays tiers, fournisse régulièrement toutes informations utiles aux membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier, telles que :
- le nombre de clients à haut risque ;
- le nombre de transactions suspectes identifiées et signalées ;
- rendre l’information disponible à l’autorité compétente de l’État membre d’origine lorsqu’elle le requiert.