EXECUTION DES MESURES DE VIGILANCE
Section 1. Régime du « tiers introducteur »
« Aux fins du présent article, on entend par « tiers » les professionnels (…), les organisations ou fédérations membres de ces (professionnels), ou d’autres établissements ou personnes, situés dans un État membre ou un pays tiers :
a) qui appliquent à l’égard des clients des mesures de vigilance et de conservation des documents et pièces qui sont compatibles avec celles qui sont prévues dans la directive (UE) 2015/849 ;
b) qui sont soumis, pour ce qui concerne le respect des exigences de la présente loi, de la directive (UE) 2015/849 ou de règles équivalentes qui leur sont applicables, à une surveillance compatible avec (…) la directive (UE) 2015/849 ».
« Il est interdit aux professionnels de recourir à des tiers établis dans des pays à haut risque. Sont exemptées de cette interdiction les succursales et les filiales détenues majoritairement par des professionnels établis dans l’UE, si ces succursales et filiales détenues majoritairement respectent intégralement les politiques et procédures à l’échelle du groupe conformément à (…) la directive (UE) 2015/849 ».
(2) « Les professionnels peuvent recourir à des tiers pour l’exécution (…) (de certaines mesures de vigilance) à condition que l’obtention immédiate de la part du tiers auquel elles ont recours des informations (…) soit assurée. Toutefois, la responsabilité finale dans l’exécution de ces obligations continue d’incomber aux professionnels qui recourent à des tiers ».
« Les professionnels recourant à un tiers doivent prendre des mesures appropriées pour avoir l’assurance que ce tiers fournisse sans délai, sur demande, conformément au paragraphe (3), les documents nécessaires concernant les obligations de vigilance relatives à la clientèle prévues à l’article 3 (…), y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) n° 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées.
Les professionnels recourant à un tiers doivent également s’assurer que ce tiers est soumis à une réglementation, fait l’objet d’une surveillance, et qu’il a pris des mesures visant à respecter l’obligation de vigilance relative à la clientèle et aux obligations de conservation des documents, qui sont compatibles avec celles qui sont prévues aux articles 3 à 3-2 de la (…) Loi ».
(3) « Lorsqu’un tiers intervient aux fins du paragraphe 2 ci-dessus, celui-ci est tenu de mettre immédiatement à la disposition du professionnel auquel le client s’adresse, nonobstant toute règle de confidentialité ou de secret professionnel lui applicable le cas échéant, les informations demandées conformément aux obligations prévues à l’article 3, paragraphe 2, alinéa 1er, points a) à c) et alinéa 2. Dans ce cas, une copie adéquate des données d’identification et de vérification, y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées, et de tout autre document pertinent concernant l’identité du client ou du bénéficiaire effectif doit être transmise sans délai, sur demande, par le tiers au professionnel auquel le client s’adresse »
De plus, le professionnel doit s’assurer que les tiers introducteurs répondent aux prescriptions de la Loi.
Tout professionnel recourant à un tiers introducteur doit s’assurer préalablement à l’intervention de celui-ci qu’il répond à la qualité de tiers introducteur selon les termes de la Loi. a documentation ayant servi à la vérification de la qualité du tiers introducteur doit être conservée en conformité avec la Loi.
Le tiers introducteur s’engage préalablement, par écrit, à remplir les obligations telles que précisées à l’article 3-3, para. (2) de la Loi, nonobstant toute règle de confidentialité ou de secret professionnel applicable au tiers introducteur le cas échéant.
La responsabilité quant au respect de ses obligations professionnelles prévues par le dispositif légal applicable, y inclus du présent règlement, continue d’incomber au professionnel recourant au tiers introducteur.
Si le professionnel fait appel à un tiers qui appartient au groupe, les exigences supra eu égard aux tiers seront considérées comme respectées si :
« a) les professionnels se fondent sur les informations fournies par un tiers qui fait partie du même groupe ;
b) ce groupe applique des mesures de vigilance à l’égard de la clientèle, des règles relatives à la conservation des documents et pièces et des programmes de lutte contre le blanchiment et contre le financement du terrorisme conformément à la Loi , à la directive (UE) 2015/849 ou à des règles équivalentes ;
c) la mise en œuvre effective des obligations visées au point b) est surveillée au niveau du groupe par une autorité de contrôle, un organisme d’autorégulation ou un de leurs homologues étrangers ;
d) tout risque lié à un pays à haut risque est atténué de manière satisfaisante(…) ».
Concernant les fonds, les orientations communes de l’ALFI et de l’ABBL visant à réduire les risques de blanchiment et de financement du terrorisme dans l’industrie des fonds[1] évoquent les obligations respectives des parties dans le cadre du recours au tiers introducteur (“third party introducer“)
– l’OPC/IFM – investment fund manager (« the responsible entity » selon les orientations) peut s’appuyer sur un tiers répondant aux exigences de la Loi (art. 3-3) et du Règlement CSSF 12-02 (art.36),-qui aura préalablement vérifié l’identité d’un prospect/client (son mandataire le cas échéant)/BE de l’OPC. Le client ainsi introduit devient investisseur direct dans l’OPC. L’OPC reste néanmoins toujours responsable des obligations de vigilance à l’égard de la clientèle qui lui incombent.
[1] Voy. “Practices and recommendations aimed at reducing the risk of money laundering and terrorist financing in the Luxembourg Fund Industry” (p.21-22). Ce guide a été mis à jour en mai 2021 et contient de nouvelles recommandations pour les acteurs fonds notamment sur les aspects « Know your assets » (KYA).
Section 2. Externalisation et relation d’agence
« Le contrat entre le professionnel et le tiers délégué intervenant dans le cadre d’une relation d’externalisation ou d’agence (…) doit inclure, au minimum :
- une description détaillée des mesures de vigilance et procédures à mettre en œuvre, dans le respect de la Loi et du présent règlement et, en particulier, des informations et documents à réclamer et à vérifier par le tiers délégué (prestataire de services en cas d’externalisation ou agent dans le cas d’une relation d’agence);
- les conditions relatives à la transmission des informations au professionnel, dont notamment la mise à disposition immédiate, sans opposition de règles de confidentialité ou de secret professionnel ou d’autres obstacles quelconques, des informations recueillies dans le cadre de l’accomplissement des obligations de vigilance à l’égard de la clientèle, et la transmission, sur demande et sans délai, d’une copie ou des originaux des documents probants obtenus à cet égard ».
« (2) Les politiques relatives à l’externalisation et à la relation d’agence ainsi que les procédures internes du professionnel souhaitant recourir à des tiers délégués doivent notamment contenir des dispositions détaillées sur le processus de sélection et d’évaluation des tiers délégués, y compris des sous-traitants à différents niveaux, en cas d’externalisation en cascade. En particulier, le professionnel doit s’assurer que le prestataire de services a les ressources nécessaires pour effectuer l’ensemble des fonctions externalisées (processus, service ou activité externalisé(e)).
Les professionnels doivent effectuer un contrôle régulier du respect par le tiers délégué de ses engagements découlant du contrat. En fonction de l’approche fondée sur les risques, le contrôle régulier vise le fait pour le professionnel de se donner les moyens de tester (par exemple via échantillonnage) et de contrôler de manière régulière et ponctuelle (par exemple en effectuant des visites sur place) le respect des obligations qui incombent au tiers délégué. En ce qui concerne les données de ses clients, le professionnel et la CSSF doivent avoir les droits d’accès aux systèmes/bases de données du tiers délégué ».
« (2bis) Une évaluation des risques par rapport aux fonctions externalisées et, le cas échéant, de la chaîne d’externalisation doit avoir été réalisée avant la conclusion du contrat d’externalisation (…) ».
« (3) La responsabilité quant au respect des dispositions de la Loi, du Règlement grand-ducal ainsi que du présent règlement continue d’incomber au professionnel recourant au tiers délégué et au tiers sous délégué, le cas échéant ».
« (4) Dans le cadre de l’externalisation de fonctions en matière de LBC/CFT, les droits et obligations du professionnel et du prestataire de services ainsi que leurs rôles, responsabilités et tâches doivent être clairement énumérés, répartis et définis dans le contrat d’externalisation. (…) »