PREAMBULE
Introduction
Le présent document s’inscrit dans le cadre du plan d’action de l’ABBL contre le blanchiment dont l’objet est d’amener ses membres à un niveau d’exigence exemplaire en matière de lutte contre le blanchiment d’argent et le financement du terrorisme tout en contribuant à la réputation de la place financière.
Pour les besoins du présent document, les termes « lutte contre le blanchiment d’argent » couvriront tant la lutte contre le blanchiment proprement dit que la lutte contre le financement du terrorisme et de la prolifération illicite des armes de destruction massive, en abrégé LBC/FT .
En effet, la participation efficace des établissements de crédit et autres professionnels du secteur financier de la lutte contre le blanchiment d’argent présuppose une bonne connaissance du dispositif législatif et réglementaire.
L’objet de ce document consiste à les assister dans la mise en œuvre efficace de leurs obligations, conformément aux dispositions légales et réglementaires applicables en la matière, et à apporter quelques précisions quant à la mise en pratique de la législation. L’ABBL ne vise ni à imposer de nouvelles obligations professionnelles aux établissements de crédit et autres professionnels du secteur financier, ni à interpréter la règle de droit.
La prévention de l’utilisation des circuits financiers à des fins de blanchiment de capitaux est une priorité et les acteurs de la place financière coopèrent en vue de l’application des mesures adoptées tant au niveau national qu’international. Il importe ce faisant, dans l’application de ces règles, de veiller à ce que cette action s’inscrive dans un juste équilibre entre, d’une part, l’extrême vigilance à l’égard des opérations bancaires et financières qui pourraient s’avérer suspectes et, d’autre part, le respect de la vie privée. Le risque d’être utilisé à des fins de blanchiment ne doit pas être sous-estimé, mais il ne doit pas non plus être surestimé. Une approche ciblée quant au risque réel doit être adoptée par chaque professionnel du secteur financier. Celle-ci doit reposer sur une bonne connaissance de son niveau de risque et une adaptation de ses procédures internes à celui-ci.
La loi modifiée du 5 avril 1993 relative au secteur financier ainsi que la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et le financement du terrorisme (« la Loi ») imposent des exigences strictes en matière de lutte contre le blanchiment d’argent entre autres aux établissements de crédit et autres professionnels du secteur financier (PSF). Pour les besoins du présent document, le terme « professionnel » désignera indifféremment les établissements de crédit et autres professionnels du secteur financier.
En vertu de l’article 39 de la loi du 5 avril 1993 relative au secteur financier, tel que modifié notamment par la loi du 13 février 2018, les professionnels sont soumis, en matière de lutte contre le blanchiment d’argent, essentiellement à trois catégories d’obligations professionnelles, soit les obligations de vigilance à l’égard de la clientèle, d’organisation interne adéquate et de coopération avec les autorités.
La première partie de ce document s’attachera à examiner certains aspects particuliers relatifs aux infractions primaires de blanchiment et au champ d’application matériel et personnel des obligations professionnelles. La seconde partie sera consacrée au contenu des obligations professionnelles, ainsi qu’aux meilleures pratiques identifiées permettant de guider les professionnels dans la mise en œuvre de la règlementation.
Étant entendu que les recommandations du Groupe d’Action Financière (« GAFI ») constituent le standard international relatif à la lutte contre le blanchiment d’argent et le financement du terrorisme, un tableau de correspondance des équivalences entre celles-ci et la structure du présent Vade-Mecum figure dans l’annexe I infra.
Le présent Vade-Mecum n’a pas vocation à fournir des conseils juridiques et n’a aucune valeur normative. L’objectif de cette publication est notamment de faciliter la lecture du cadre légal de la LBC/FT sur la base des interprétations, de la compréhension et des hypothèses acceptées par les acteurs financiers.
Bien que tous les efforts nécessaires aient été déployés afin de garantir que les informations ici contenues soient pertinentes et actuelles à la date de publication, elles ne sont pas exhaustives.
Ainsi, le contenu de ce document est susceptible de changer en fonction des lois et règlements et, le cas échéant, des mises à jour et éclaircissements qui seront apportés par la CSSF. Ce faisant, le Vade-Mecum pourra être mis à jour et complété à l’avenir.
Utilisation du document
CHAMP D’APPLICATION MATERIEL
Afin de déterminer si un professionnel doit procéder à une déclaration de soupçon de blanchiment, il convient au préalable de connaître les infractions dont l’objet ou le produit peuvent donner lieu à une infraction de blanchiment, sans avoir toutefois à qualifier l’infraction (Section 1 : Les infractions primaires).
La transposition en droit luxembourgeois de la directive (UE) 2018/1673 visant à lutter contre le blanchiment de capitaux au moyen du droit pénal verra l’infraction de blanchiment étendue à tous les crimes et à tous délits.
Au-delà du champ d’application de la loi luxembourgeoise à certaines catégories d’infractions, les professionnels doivent par ailleurs tenir compte de la loi pénale du pays d’accueil dans le cadre d’une activité transfrontalière (Section 2 : Les risques liés à l’exercice transfrontalier d’activités bancaires et financières).
Section 1. Les infractions de blanchiment et de financement du terrorisme
1. Les infractions primaires
L’article 506-1 du Code pénal contient une liste d’infractions primaires qui comporte deux volets : d’une part des infractions expressément désignées comme infractions primaires, d’autre part une liste « ouverte » définie suivant un seuil de peine et comportant toutes les infractions punies d’une peine privative de liberté d’un minimum supérieur à six mois.
Cette approche correspond aux recommandations n°3 (infraction de blanchiment de capitaux) et n°5 (infraction de financement du terrorisme) du GAFI :
« les infractions sous-jacentes peuvent être définies par rapport à un seuil lié soit à une catégorie d’infractions graves, soit à la peine privative de liberté dont est passible l’infraction sous-jacente (méthode du seuil), par rapport à une liste d’infractions sous-jacentes ou par une combinaison de ces méthodes ».
« La notion d’infraction primaire vise toutes les infractions englobées par l’article 506-1 du code pénal. En pratique, cette liste comprend la plupart des infractions graves dont dispose le code pénal (p.ex. : banqueroute, corruption, enlèvement, exploitation sexuelle, faux, escroquerie, meurtre, traite des êtres humains, vol, etc.) ou certaines lois spéciales (p.ex. : contrefaçon, infractions fiscales pénales, infractions contre l’environnement, trafic illicite de stupéfiants et substances psychotropes, etc.) ».
Les infractions de blanchiment sont également punissables lorsque l’infraction primaire a été commise à l’étranger. Toutefois, cette infraction doit être punissable dans l’État où elle a été commise.
2. Les éléments constitutifs de l’infraction de blanchiment
L’infraction de blanchiment telle que renseignée à l’article 506-1 du Code pénal, élément légal, ne peut être reconnue par les tribunaux répressifs que si celle-ci coexiste à la fois avec un élément matériel et un élément intentionnel.
2.1 L’élément matériel
L’élément matériel correspond à la matérialisation d’un agissement/comportement qui va venir qualifier l’acte de blanchiment. La ligne directrice de la cellule de renseignement financier (CRF) « Déclaration d’opérations suspectes » reprend les 3 types de comportement caractérisant les infractions de blanchiment :
« Les infractions de blanchiment et sous-jacentes associées, définies à l’article 506-1 du code pénal et à l’article 8 paragraphe 1 a) et b) de la loi modifiée du 19 février 1973 concernant la vente de substances médicamenteuses et la lutte contre la toxicomanie, visent trois types de comportements :
- ceux qui ont sciemment facilité, par tout moyen, la justification mensongère de la nature, de l’origine, de l’emplacement, de la disposition, du mouvement ou de la propriété́ des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions,
- ceux qui ont sciemment apporté leur concours à une opération de placement, de dissimulation, de déguisement, de transfert ou de conversion des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions
- ceux qui ont acquis, détenu ou utilisé des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions.
« Le blanchiment consiste dans tout acte ayant trait au produit ou à l’objet, c’est à dire à tout avantage économique, tiré de l’infraction primaire. (…) La définition légale du blanchiment est très large et vise un ensemble de stratagèmes qui ont tous pour but de procurer une justification mensongère de l’origine des biens formant l’objet ou le produit tirés des infractions primaires ».
2.2 L’élément intentionnel
L’élément intentionnel est déterminant pour commettre l’infraction de blanchiment. Ainsi, toute personne ayant « sciemment » commis l’acte incriminé/référé à l’article 506-1 du Code pénal, ensemble avec l’élément matériel, viendra matérialiser l’infraction de blanchiment. Celui qui commet l’acte sait donc que les fonds utilisés proviennent d’une activité illicite.
Même si le professionnel ne doit pas qualifier l’infraction sous-jacente lorsqu’il procède à la déclaration d’opération suspecte auprès de la CRF, le critère préalable à toute initiative de déclaration requiert que le professionnel connaisse les différents types d’infractions primaires du blanchiment reprises dans l’annexe II.
Le professionnel déclarant effectuera sa déclaration sur le site web « goAML » (voy.https://justice.public.lu/fr/organisation-justice/crf/goaml.html), en se référant par ailleurs aux indications sur les formalités déclaratives telles que fournies par la CRF dans sa ligne directrice « Déclaration d’opérations suspectes » (voir «documents » sous le lien https://justice.public.lu/fr/organisation-justice/crf.html).
Les déclarants peuvent configurer leur système informatique pour faire un export direct des informations pertinentes dans un fichier informatique. Ce fichier XML – qui doit strictement répondre aux exigences techniques posées par la CRF – peut être téléchargé en tant que déclaration (voir https://faq.goaml.lu/manuels-dutilisation/faire-une-declaration/telecharger-fichier-xml).
La CRF encourage tous les professionnels à effectuer des déclarations d’opérations suspectes via l’outil goAML, qui lui permet de collecter des informations/indices précieux dans l’exercice de ses prérogatives, même en l’absence de retour de sa part vis à vis des professionnels concernés.
Pour toute question relative à l’outil goAML, veuillez-vous référer aux manuels d’utilisation de ce dernier, disponibles sur le lien suivant :
Tout professionnel est par ailleurs invité à contacter directement la CRF par téléphone au +352 47 59 81-447, ou par E-mail crf@justice.etat.lu
3. Éléments spécifiques à certaines infractions primaires
3.1 L’infraction de financement du terrorisme
«L’infraction de financement du terrorisme, définie à l’article 135-5 du code pénal, consiste à fournir ou réunir par quelque moyen que ce soit, directement ou indirectement, illicitement et délibérément, des fonds, des valeurs ou des biens de toute nature, dans l’intention de les voir utilisés ou en sachant qu’ils seront utilisés, en tout ou en partie, en vue de commettre ou tenter de commettre une ou plusieurs infractions (voy. tableau infra) définies dans le code pénal, même s’ils n’ont pas été effectivement utilisés pour commettre ou tenter de commettre une de ces infractions, ou s’ils ne sont pas liés à un ou plusieurs actes terroristes spécifiques ».
« Sont compris dans le terme «fonds» des biens de toute nature, corporels ou incorporels, mobiliers ou immobiliers, acquis par quelque moyen que ce soit, et des documents ou instruments juridiques sous quelque forme que ce soit, y compris sous forme électronique ou numérique, qui attestent un droit de propriété ou un intérêt sur ces biens et les crédits bancaires, les chèques de voyage, les chèques bancaires, les mandats, les actions, les titres, les obligations, les traites et les lettres de crédit, sans que cette énumération ne soit limitative ».
La recommandation n°5 du GAFI explique ainsi que le financement du terrorisme comprend le fait de financer les voyages de personnes qui se rendent dans un État autre que leur État de résidence ou de nationalité, dans le dessein de commettre, d’organiser ou de préparer des actes de terrorisme, ou afin d’y participer ou de dispenser ou recevoir un entraînement au terrorisme.
3.2 Les infractions fiscales pénales
La 4ème directive anti-blanchiment introduit dans la définition d’« activité criminelle » pouvant donner lieu à un blanchiment :
« Toutes les infractions, y compris les infractions fiscales pénales liées aux impôts directs et indirects, (….) qui sont punissables d’une peine privative de liberté ou d’une mesure de sûreté d’une durée maximale supérieure à un an, ou, dans les États dont le système juridique prévoit un seuil minimal pour les infractions, toutes les infractions qui sont punissables d’une peine privative de liberté ou d’une mesure de sûreté d’une durée minimale supérieure à six mois».
Cette disposition a été transposée en droit luxembourgeois par la loi du 23 décembre 2016 qui introduit deux nouvelles infractions dans la liste des infractions primaires de blanchiment:
- La fraude fiscale aggravée qui est définie selon des seuils d’impôt éludé ou de niveau de remboursement obtenu,
- l’escroquerie fiscale qui doit son caractère de gravité supplémentaire non seulement aux montants en jeu, mais aussi au fait que des moyens ont été employés en vue de tromper l’administration fiscale.
La fraude fiscale aggravée et l’escroquerie fiscale portent tant sur les impôts directs (impôts sur le revenu, droit d’enregistrement, droits de successions) que sur les impôts indirects (TVA).
L’infraction de blanchiment est punissable pour les infractions primaires de fraude fiscale aggravée et d’escroquerie fiscale qui sont commises à partir du 1er janvier 2017.
La circulaire CSSF 17/650 contient notamment dans son annexe 1 une liste d’indicateurs susceptibles de révéler l’éventuel blanchiment d’une infraction primaire fiscale et auxquels les professionnels se réfèreront utilement. Il est à souligner que la présence d’un indicateur à lui seul ne permet pas d’en déduire l’existence d’une infraction primaire fiscale. Une nouvelle liste d’indicateurs propres aux activités de placement collectif a été introduite le 3 juillet 2020 dans la circulaire CSSF 20/744 (voir annexe 2).
Bien que le professionnel n’ait pas à qualifier l’infraction sous-jacente pour faire une déclaration de soupçons auprès de la CRF (voy. article 5 (1) a de la Loi), il convient qu’il connaisse les dépassements des seuils des infractions primaires fiscales incriminées.
Dans le cadre d’un client, résident fiscal luxembourgeois, les seuils caractérisant les infractions sont les suivants :
« Celui qui se sera frauduleusement soustrait ou tenté de se soustraire au paiement total ou partiel des impôts, droits et taxes dont la perception est attribuée à l’Administration de l’enregistrement et des domaines à l’exception de la taxe sur la valeur ajoutée et que la fraude ainsi commise ou tentée porte, par période déclarative ou fait générateur, sur un montant supérieur au quart des droits dus sans être inférieur à 10.000 euros ou sur un montant supérieur à la somme de 200.000 euros, sera puni, pour fraude fiscale aggravée, d’un emprisonnement de un mois à trois ans et d’une amende de 25.000 euros à un montant représentant le sextuple des droits éludés.
S’il a de façon systématique employé des manœuvres frauduleuses dans l’intention de dissimuler des faits pertinents à l’administration ou à la persuader des faits inexacts, et que la fraude ainsi commise ou tentée porte, par période déclarative ou fait générateur, sur un montant significatif soit en montant absolu soit en rapport avec les droits dus, l’auteur sera puni, pour escroquerie fiscale, d’un emprisonnement de un mois à cinq ans et d’une amende de 25.000 euros à un montant représentant le décuple des droits éludés ».
En revanche, les seuils de déclaration luxembourgeois ne sont pas applicables aux non-résidents, pour lesquels il conviendra, le cas échéant, de déclarer un soupçon potentiellement dès le premier euro, étant cependant entendu que les seuils peuvent varier selon la résidence fiscale du client.
Le blanchiment n’est toutefois punissable à Luxembourg que si l’infraction est également une infraction primaire dans le pays de résidence du client, suivant le principe de double incrimination.
4. Du soupçon à la déclaration d’opération suspecte
L’obligation de coopération avec les autorités (Chap.7) impose aux professionnels « (…) d’informer sans délai, de leur propre initiative la cellule de renseignement financier lorsqu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté (…) ».
Cette obligation requiert d’appréhender la notion de soupçon pour procéder le cas échéant à une déclaration auprès de la CRF.
4.1 La notion de soupçon
La CRF définit le soupçon comme « (…) une opinion défavorable à l’égard de quelqu’un, de son comportement, fondée sur des indices, des impressions, des intuitions, mais sans preuves précises. Ainsi pour déclarer un soupçon, [le professionnel ne doit] pas avoir la preuve d’un blanchiment, d’une infraction sous-jacente associée ou d’un financement du terrorisme ; il suffit de circonstances qui rendent telle hypothèse plausible ».
« Les termes « soupçonnent » ou « ont des motifs raisonnables de soupçonner », signifient que l’institution financière doit qualifier de suspects les fonds impliqués, l’opération concernée, ou le fait considéré si l’analyse des informations recueillies, conformément aux obligations de vigilance et en vue de l’analyse, l’amène à former une opinion de suspicion (« soupçonnent ») ou comprend des éléments qui ne lui permettent pas raisonnablement d’écarter le doute (« ont des motifs raisonnables de soupçonner ») quant à la licéité de l’origine des sommes ou de l’opération ou quant à leur justification économique, juridique ou fiscale ».
« La détermination du soupçon doit être le fruit d’une démarche intellectuelle et la conclusion d’une analyse étayée. Elle ne peut pas être menée par les seuls systèmes automatisés mais requiert une intervention humaine fondée sur l’analyse des faits et opérations atypiques et de leurs circonstances, pour décider si ces faits ou opérations atypiques sont susceptibles d’être liés au BC/FT et doivent dès lors faire l’objet d’une déclaration à la (CRF) ou, inversement, que leur analyse permet d’écarter de tels soupçons et doit donner lieu à un classement sans suite ».
4.2 Les origines du soupçon
Le professionnel peut soupçonner ou avoir des motifs raisonnables de soupçonner qu’un blanchiment est en cours, « (…) notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération ».
« (…) ll n’y a aucun seuil monétaire minimal pour la déclaration d’une opération suspecte. Plusieurs facteurs peuvent entrer en ligne de compte, lesquels peuvent sembler sans importance s’ils sont pris individuellement, mais peuvent semer un doute s’ils sont combinés. En règle générale, toute opération ou transaction, tentée ou consommée, qui suscite des questions (de la part du professionnel), provoque (…) un malaise, de l’inquiétude ou de la méfiance peut être potentiellement liée à un blanchiment, une infraction sous-jacente associée ou à un financement du terrorisme.
Une bonne pratique consiste à s’appuyer sur des indicateurs susceptibles de révéler un éventuel blanchiment, une infraction sous-jacente associée ou financement du terrorisme. Les formulaires de déclaration sur goAML Web suggèrent trois séries d’indicateurs liés (1) à la personne du prospect ou client, (2) aux opérations ou transactions et (3) au comportement et au profil du prospect ou du client.
4.3 Exemples de soupçon de blanchiment
La CRF a établi des exemples d’indicateurs liés à la personne du client, à une opération/transaction et au comportement/profil du client et qui se réfèrent à des situations particulières.
Les indicateurs liés au client correspondent par exemple :
- à des antécédents judiciaires ou à un statut de PEP
- à un comportement suspect/atypique
- à une réticence à fournir des documents justificatifs
- à la justification peu crédible de l’origine de ses avoirs
- à insister à l’ouverture rapide d’un compte
Les indicateurs liés à une opération ou transaction sont protéiformes.
« Le doute peut naître du fait que l’opération ou la transaction est la conséquence d’une fraude, de sa fréquence ou de son montant, de l’utilisation anormale de moyens de paiement, de l’interposition de personnes physiques ou morales, de l’utilisation d’intermédiaires financiers non réglementés, du destinataire des fonds ou du prix pratiqué. Plusieurs facteurs sont susceptibles de s’appliquer en même temps, ce qui rend d’autant plus plausible l’hypothèse d’un blanchiment, infraction sous-jacente associée ou financement du terrorisme ».
4.4 Synthèse du processus de déclaration
Le processus de déclaration à la CRF peut être résumé comme suit :
Le point de départ du délai de déclaration d’opérations suspectes à la cellule de renseignement financier naît dès que le professionnel vient à la conclusion qu’un doute résiduel subsiste sur le prospect / client ou la transaction, venant confirmer le soupçon. C’est ainsi que s’entend l’obligation de déclaration « sans délai » du professionnel à la cellule de renseignement financier.
Au cas où le professionnel estime, compte tenu de la complexité du dossier, qu’il ne lui sera pas possible de compléter sa déclaration en bonne et due forme en temps et en heure, il est préconisé de procéder en deux temps :
(i) en envoyant d’abord à la cellule de renseignement financier une déclaration succincte avec assez d’éléments pour lui permettre de prendre une décision quant à un éventuel blocage
(ii) puis une déclaration complémentaire à effectuer dans les meilleurs délais pour apporter des informations supplémentaires.
Par exception, en matière de financement du terrorisme, s’agissant de prévenir un danger grave, le professionnel contactera la cellule de renseignement financier par téléphone en parallèle à la déclaration par goAML.
Section 2. Les risques liés à l’exercice transfrontalier d’activités bancaires et financières
Dans le cadre d’activités transfrontalières, la qualification juridique, différente par rapport au droit luxembourgeois, de faits ou d’actes par les législations étrangères, peut entraîner des risques juridiques accrus, notamment de nature pénale et réglementaire.
« Les États membres devraient veiller à ce qu’il n’y ait aucun obstacle à ce que les activités bénéficiant de la reconnaissance mutuelle puissent être exercées de la même manière que dans l’État membre d’origine, pour autant qu’elles ne soient pas en opposition avec les dispositions légales d’intérêt général en vigueur dans l’État membre d’accueil ».
« (…) les professionnels, leurs dirigeants et employés sont tenus d’informer sans délai, de leur propre initiative la CRF (…) »
Quant à l’obligation de déclaration d’opérations suspectes qui incombe à un établissement de droit étranger opérant en LPS au Luxembourg ou à une succursale luxembourgeoise, elle se définit d’après le droit luxembourgeois, ce qui implique que la déclaration de soupçon de blanchiment doit être faite auprès de la Cellule de Renseignement Financier de Luxembourg.
« (…) la notion de professionnel comprend également les succursales au Luxembourg de professionnels étrangers ainsi que les professionnels de droit étranger qui fournissent des prestations de service au Luxembourg sans y établir de succursale ».
L’exercice transfrontalier d’activités bancaires vise deux situations distinctes :
- le professionnel établi au Luxembourg opérant en libre prestation de services (« LPS ») dans d’autres États membres de l’Union européenne
- le professionnel établi à l’étranger et agissant sur le territoire luxembourgeois en LPS ou disposant d’une succursale au Luxembourg.
Le professionnel agissant depuis le Luxembourg en LPS sera bien avisé de se renseigner au préalable sur les dispositions légales et réglementaires applicables sur le territoire du/des pays d’accueil (soit entre autres les règles d’intérêt général ainsi que les lois de police) et leur impact potentiel sur les activités transfrontalières développées.
Le professionnel opérant en LPS depuis ou à destination de Luxembourg sera tenu non seulement de respecter les règles destinées à lutter contre le blanchiment dans son pays d’origine, mais également de prendre en compte les lois pénales ainsi que toutes les règles d’intérêt général du pays d’accueil.
Il pourrait en effet se rendre coupable d’infraction aux règles pénales de lutte contre le blanchiment dans le pays d’accueil et il importe de garder à l’esprit que ces règles dans leur ensemble englobent tous les comportements susceptibles de générer des profits, pour autant qu’ils aient été érigés en infraction.
Cour d’appel du 3 juin 2009 : « En matière de blanchiment, lorsque l’infraction primaire a été commise à l’étranger, s’il faut, conformément à l’article 506-3 alinéa 2 du Code pénal, à l’exception des infractions pour lesquelles la loi permet la poursuite même si elles ne sont pas punissables dans l’État où elles ont été commises, qu’elles soient punissables dans l’État où elle a été commise, sa qualification dépend de la loi luxembourgeoise du juge saisi du délit de blanchiment et non de celle de l’État où elle a été commise ».
Les professionnels opérant en LPS sont invités à consulter la liste des autorités de supervision du secteur financier des 28 États membres telle qu’établie par l’Autorité bancaire européenne ou l’Autorité européenne des marchés financiers .
Ils pourront ainsi se référer utilement aux rubriques dédiées de ces autorités compilant le cadre juridique eu égard à la criminalité financière, par exemple :
– le site de la « FSMA » belge
– le site de la « Financial Conduct Authority » britannique
– le site de la « BAFIN » allemande
CHAMP D’APPLICATION PERSONNEL
Section 1. Les professionnels du secteur financier exerçant au Luxembourg
La Loi s’applique notamment aux « établissements de crédit et professionnels du secteur financier (PSF) agréés ou autorisés à exercer leur activité́ au Luxembourg en vertu de la loi modifiée du 5 avril 1993 relative au secteur financier (…)», aux établissements de paiement, aux établissements de monnaie électronique ainsi qu’aux « agents liés tels que définis à l’article 1er de la loi modifiée du 5 avril 1993 relative au secteur financier et les agents tels que définis à l’article 1er de la loi du 10 novembre 2009 relative aux services de paiement établis au Luxembourg ».
Le cercle des personnes soumises aux obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme est désormais étendu à toute personne exerçant l’activité de Family Office, aux personnes exerçant à titre professionnel au Luxembourg l’activité d’un prestataire de services aux sociétés et fiducies, aux prestataires de services de jeux d’argent et de hasard ainsi qu’ aux huissiers de justice.
La loi du 25 mars 2020 transposant la 5ème directive (UE) 2018/843 a élargi la liste des professionnels assujettis notamment aux prestataires de services d’actifs virtuels ainsi qu’aux prestataires de conservation ou d’administration.
Section 2. Application des obligations professionnelles aux filiales et succursales à l’étranger des professionnels exerçant au Luxembourg
1. Principe général
« Les institutions financières devraient être obligées de mettre en œuvre des programmes de LBC/FT. Les groupes financiers devraient être obligés de mettre en œuvre des programmes de LBC/FT à l’échelle du groupe, y compris des politiques et procédures de partage des informations au sein du groupe aux fins de LBC/FT. Les institutions financières devraient être obligées de s’assurer que leurs succursales et filiales majoritaires à l’étranger appliquent, au moyen des programmes du groupe financier contre le blanchiment de capitaux et le financement du terrorisme, des mesures de LBC/FT conformes aux obligations du pays d’origine mettant en œuvre les recommandations du GAFI ».
« Politiques et Procédures à l’échelle du groupe :
Les professionnels qui font partie d’un groupe sont tenus de mettre en œuvre des politiques et des procédures à l’échelle du groupe, notamment des politiques de protection des données, ainsi que des politiques et des procédures relatives au partage des informations au sein du groupe aux fins de la lutte contre le blanchiment et contre le financement du terrorisme. Ces politiques et procédures doivent être mises en œuvre efficacement et de manière adaptée, en tenant compte notamment des risques de blanchiment et de financement du terrorisme identifiés et de la nature, des particularités, de la taille et de l’activité des succursales et filiales, au niveau des succursales et des filiales détenues majoritairement et établies dans les États membres et dans des pays tiers ».
« Les politiques et procédures à l’échelle du groupe incluent :
– les politiques, contrôles et procédures prévus à l’article 4, paragraphes (1) et (2) ;
– la mise à disposition, dans les conditions de l’article 5, paragraphes (5) et (6), d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la lutte contre le blanchiment et contre le financement du terrorisme, aux fonctions de conformité, d’audit et de lutte contre le blanchiment et contre le financement du terrorisme au niveau du groupe. Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF. De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe ; et
– des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations ».
La directive (UE) 2013/34 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises définit le terme « groupe » comme « une entreprise mère et l’ensemble de ses entreprises filiales ».
Pour les établissements de crédit et les entreprises d’investissement tombant dans le champ dudit règlement, on note que le Règlement (UE) 575/2013 définit les termes de maison mère, filiale et succursale.
Le professionnel devra donc, en concertation avec ses filiales/succursales basées à l’étranger, définir une politique de groupe qui devra être mise en œuvre par ces dernières, quand bien même il existerait des différences/spécificités nationales dans le cadre juridique de la lutte contre le blanchiment d’argent sur les territoires où sont basées ces filiales/succursales.
Dans la mise en place de cette politique de groupe, le professionnel tiendra dûment compte des dispositions relatives à « l’obligation au secret professionnel » telles que renseignées à l’article 41 de la loi du 5 avril 1993 relative au secteur financier.
Par ailleurs, si un échange de données personnelles implique un transfert de celles-ci depuis un professionnel établi au Luxembourg vers une entité implantée dans un pays tiers et qui ne fait pas l’objet d’une décision d’adéquation de la Commission européenne, ce transfert de données ne peut avoir lieu que s’il présente les « garanties appropriées » indiquées à l’article 46 du Règlement général sur la protection des données.
Ainsi, le professionnel utilisera notamment les instruments juridiques prévus à cet effet tels que les règles d’entreprises contraignantes (« Binding corporate rules ») ou des clauses types de protection des données adoptées par la Commission européenne, sinon par une autorité de contrôle.
La loi du 25 mars 2020 a introduit l’article 4-1, para I, point (b) dans la Loi permettant aux professionnels des établissements de crédit/financiers d’États membres faisant partie d’un même groupe d’échanger des informations clients/comptes/opérations entre les entités du groupe (en ce inclus les succursales/filiales détenues majoritairement et situées dans des États tiers), s’agissant ici uniquement d’informations nécessaires aux fins de LBC, tout particulièrement celles relatives aux transactions ou activités inhabituelles ou au fait qu’une déclaration d’opération suspecte a été transmise à la cellule de renseignement financier .
1.1 Dans un État membre
« Les professionnels qui exploitent des établissements dans un autre État membre veillent à ce que ces établissements respectent les dispositions nationales de cet autre État membre transposant la directive (UE) 2015/849 ».
Une succursale/filiale établie dans un autre État membre se devra de respecter les dispositions nationales de cet État membre d’accueil transposant la 4ème directive anti-blanchiment telle que modifiée.
1.2 « A l’étranger » : dans un État tiers
« Les professionnels sont tenus d’appliquer des mesures au moins équivalentes à celles prescrites (…) par la directive (UE) 2015/849 ou par les mesures prises pour leur exécution en matière d’évaluation des risques, de vigilance à l’égard de la clientèle, de conservation des informations et pièces, d’organisation interne adéquate et de coopération avec les autorités dans leurs succursales et filiales détenues majoritairement situées à l’étranger ».
« Lorsque les normes minimales en matière de lutte contre le blanchiment et contre le financement du terrorisme dans un pays dans lequel un professionnel a des succursales et filiales détenues majoritairement sont différentes de celles applicables au Luxembourg, ces succursales et filiales doivent appliquer la norme la plus rigoureuse, dans la mesure où les textes législatifs et règlementaires du pays d’accueil le permettent ».
« Dans ce contexte, si les normes du pays dans lequel ces succursales et filiales sont situées sont moins strictes que celles prévues au Luxembourg, les règles de protection des données applicables au Luxembourg en matière de lutte contre le blanchiment et contre le financement du terrorisme doivent être respectées », dans la mesure où les textes législatifs et réglementaires du pays d’accueil le permettent.
« Les professionnels doivent veiller plus particulièrement au respect de ce principe s’agissant des succursales et filiales dans les pays à haut risque ».
Ainsi, si le cadre juridique en matière de lutte contre le blanchiment d’une filiale/succursale basée dans un État tiers présente certaines lacunes ou est moins strict qu’à Luxembourg, cette filiale/succursale basée à l’étranger devra mettre en place les règles luxembourgeoises en vigueur.
Les modèles/procédures en matière de gestion des risques, de vigilance à l’égard de la clientèle, de coopération avec les autorités et avec la CRF, de conservation des documents, de contrôle interne, de gouvernance, de fonction d’audit indépendant, de formation devront donc obéir aux règles luxembourgeoises en la matière, en tenant compte par ailleurs des spécificités nationales propres à l’État d’établissement de la succursale/filiale.
2. Filiales et succursales établies dans des pays tiers dont la réglementation ne permet pas d’appliquer les mesures équivalentes
« Si le droit d’un pays tiers ne permet pas de mettre en œuvre les politiques et procédures requises en application du paragraphe 1, les professionnels veillent à ce que leurs succursales et leurs filiales détenues majoritairement dans ce pays tiers appliquent des mesures supplémentaires pour traiter efficacement le risque de blanchiment de capitaux ou de financement du terrorisme, et en informent les autorités de contrôle et organismes d’autorégulation. Si ces mesures supplémentaires sont insuffisantes, les autorités de contrôle et organismes d’autorégulation mettent en œuvre des mesures de surveillance supplémentaires, notamment en exigeant que le groupe n’établisse pas de relations d’affaires ou qu’il y mette fin et qu’il n’effectue pas de transactions et, si nécessaire, en lui demandant de cesser ses activités dans le pays tiers concerné ».
Cette obligation s’avère tout particulièrement pertinente pour les « pays présentant un risque plus élevé » selon le GAFI.
« Les établissements devraient veiller à ce que leurs filiales et leurs succursales adoptent des mesures visant à garantir que leurs opérations respectent le cadre légal et réglementaire local. Si le cadre légal et réglementaire local empêche l’application de procédures et de systèmes de vérification de la conformité plus stricts mis en œuvre par le groupe, notamment s’il empêche la divulgation et l’échange d’informations nécessaires entre entités au sein du groupe, les filiales et les succursales devraient informer le responsable de la conformité ou le directeur de la conformité de l’établissement consolidant ».
Le fait qu’un État tiers qui n’autorise pas la filiale/succursale d’un professionnel luxembourgeois à appliquer le cadre luxembourgeois en matière de lutte contre le blanchiment d’argent, même en présence de mesures supplémentaires palliant à cette interdiction, peut amener celui-ci à se voir interdire d’effectuer des transactions avec la filiale/succursale établie à l’étranger.
Le règlement délégué (UE) 2019/758 de la Commission (normes techniques de réglementation) permet au professionnel de se référer à certaines normes dans les contextes suivants :
(1) examens individuels des risques
(2) partage et traitement des données des clients
(3) divulgation des informations liées aux transactions suspectes
(4) transfert et conservation des données
2.1 Examens individuels des risques LBC/FT
« Lorsque le droit du pays tiers restreint ou interdit l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer correctement les risques de blanchiment de capitaux et de financement du terrorisme liés à une relation d’affaires ou à une transaction conclue à titre occasionnel en raison de restrictions d’accès aux informations pertinentes sur les clients et les bénéficiaires effectifs ou de restrictions sur l’utilisation de ces informations à des fins de vigilance à l’égard de la clientèle » :
Le professionnel veille au moins :
- « à communiquer à l’autorité compétente de l’État membre d’origine, sans délai indu et au plus tard 28 jours calendaires après identification du pays tiers concerné :
- le nom du pays tiers concerné ; et
- la manière dont la mise en œuvre du droit du pays tiers interdit ou restreint l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer les risques de BC/FT liés à un client » ;
- à s’assurer que les filiales ou succursales détenues majoritairement, qui sont établies dans le pays tiers, déterminent si l’accord de leurs clients/bénéficiaires effectifs peut être utilisé pour contourner légalement les restrictions ou interdictions susvisées ;
- à faire en sorte que les filiales ou succursales détenues majoritairement qui sont établies dans le pays tiers exigent de leurs clients, et, le cas échéant, des bénéficiaires effectifs de leurs clients, qu’ils marquent leur accord pour contourner les restrictions et interdictions susvisées, dans la mesure où cela est compatible avec le droit du pays tiers.
Dans les cas où il n’est pas possible de recueillir l’accord du client/des BEs, « les établissements de crédit ou les établissements financiers prennent des mesures supplémentaires ainsi que leurs mesures types de LBC/FT pour gérer les risques de BC/FT ».
EXEMPLES DE MESURES SUPPLEMENTAIRES :
L’article 3 du règlement délégué 2019/758 prévoit qu’au moins deux mesures supplémentaires doivent le cas échéant être prises : la mesure visée à l’article 8 point c) et au moins une des mesures visées aux points a), b), d) e) et f).
Il conviendra donc de prendre nécessairement la mesure suivante :
- effectuer des examens renforcés, et notamment, lorsque cela est proportionné aux risques de BC/FT liés à l’exploitation de la succursale ou de la filiale détenue majoritairement, établie dans le pays tiers, des vérifications sur place ou des audits indépendants, afin de s’assurer que cette succursale ou la filiale évalue et gère efficacement les risques de BC/FT
Cette mesure devra être combinée avec au moins une autre mesure pertinente, tel que par exemple :
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers sollicitent l’approbation des membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier pour l’établissement et le maintien de la relation d’affaires à risque plus élevé, ou pour l’exécution d’une transaction occasionnelle à risque plus élevé ;
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers limitent la nature et le type de produits et services financiers fournis par la succursale/filiale dans le pays tiers à ceux qui présentent un risque faible LBC/FT et qui ont un impact faible sur l’exposition du groupe aux risques LBC/FT ;
- s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers assurent un contrôle continu renforcé de la relation d’affaires, notamment un contrôle renforcé de la transaction, jusqu’à ce que les filiales et succursales majoritaires considèrent raisonnablement qu’elles comprennent les risques de BC/FT liés à la relation d’affaires.
Si un établissement de crédit ou un établissement financier ne peut gérer de manière efficace les risques de BC/FT en appliquant les mesures stipulées ci-dessus, l’établissement :
- « veille à ce que la filiale/succursale détenue majoritairement cesse la relation d’affaires ;
- veille à ce que la filiale/succursale détenue majoritairement n’exécute pas la transaction conclue à titre occasionnel ;
- met un terme à certaines ou à l’ensemble des activités assurées par sa succursale / filiale détenue majoritairement, établie dans le pays tiers ».
2.2 Le partage et le traitement de données des clients
Il est fait référence au règlement délégué eu égard à l’interdiction/restriction du partage des données du client imposée par l’État tiers et les mesures préconisées y afférentes à accomplir à l’intérieur du groupe sont similaires à celles renseignées supra.
En bref, le professionnel doit :
- informer l’autorité compétente de son État membre d’origine
- obtenir le consentement de son client/BE le cas échéant pour autoriser la transmission d’informations
- prendre si besoin les mesure supplémentaires nécessaires pour surmonter le cas où le recueil du(des) consentement(s) n’est pas possible. Ces mesures supplémentaires comprennent la mesure supplémentaire visée à l’article 8, point a), ou la mesure supplémentaire visée au point c) de cet article.
- Si le risque de blanchiment de capitaux et de financement du terrorisme est suffisant pour nécessiter d’autres mesures supplémentaires, les établissements de crédit et les établissements financiers appliquent une ou plusieurs des autres mesures supplémentaires énoncées à l’article 8, points a) à c).
2.3 Divulgation au sein du groupe des informations liées aux transactions suspectes
« L’interdiction (de communication au client de la divulgation d’informations le concernant à la CRF) ne s’applique pas à la divulgation entre les établissements de crédit et les établissements financiers des États membres, à condition que ceux-ci appartiennent à un même groupe, ni entre ces établissements et leurs succursales et filiales détenues majoritairement situées dans des pays tiers, à condition que ces succursales et filiales détenues majoritairement respectent pleinement les politiques et procédures définies à l’échelle du groupe, y compris les procédures en matière de partage d’informations au sein du groupe, conformément à l’article 4-1 ou à l’article 45 de la directive (UE) 2015/849, et que les politiques et procédures définies à l’échelle du groupe respectent les exigences prévues dans la présente loi ou dans la directive (UE) 2015/849 ».
Cette exception doit être interprétée strictement en ce sens qu’elle n’a vocation à s’appliquer que dans un contexte intra-groupe.
« En ce qui concerne les professionnels qui font partie d’un groupe, ils sont tenus d’inclure dans leurs politiques et procédures à l’échelle du groupe, les politiques, contrôles et procédures prévues (par la Loi) et la mise à disposition (…) d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la LBC/FT, aux fonctions de conformité, d’audit et de LBC/FT au niveau du groupe.
Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF.
De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe. Des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations, doivent être prévues ».
« Les informations concernant des soupçons selon lesquels des fonds proviennent d’un blanchiment, d’une infraction sous-jacente associée ou sont liés au financement du terrorisme qui ont été́ transmises à la CRF sont partagées au sein du groupe, sauf instruction contraire émanant de la CRF ».
2.4 Transfert de données des clients aux États membres dans le cadre de la supervision LBC/FT
« Lorsque le droit du pays tiers interdit ou restreint le transfert de données relatives aux clients d’une succursale ou d’une filiale détenue majoritairement, établie dans un pays tiers, vers un État membre aux fins de la surveillance de la lutte contre le BC/FT (…) », le professionnel doit au moins en informer l’autorité compétente du pays d’origine comme indiqué supra au point 2.1.
Le professionnel, en sus, veille au moins à:
- effectuer des examens renforcés, des vérifications sur place ou des audits indépendants de la filiale/succursale du pays tiers ;
- exiger que la succursale / filiale détenue majoritairement, établie dans le pays tiers, fournisse régulièrement toutes informations utiles aux membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier, telles que :
- le nombre de clients à haut risque ;
- le nombre de transactions suspectes identifiées et signalées ;
- rendre l’information disponible à l’autorité compétente de l’État membre d’origine lorsqu’elle le requiert.
L’APPROCHE BASEE SUR LE RISQUE
Il existe trois niveaux d’évaluation des risques :
- Une évaluation supranationale des risques opérée au niveau européen, dont les résultats ont été publiés par la Commission européenne le 26 juin 2017 et mis à jour le 24 juillet 2019.
- Une évaluation nationale des risques que chaque État membre doit réaliser de sorte à évaluer le niveau de risque propre aux activités opérées sur son territoire.
Le Luxembourg a mis à jour son évaluation nationale des risques en matière de BC et de FT le 15 décembre 2020. Un résumé concis de l’évaluation nationale des risques est mis à disposition des professionnels.
« Chaque État membre met rapidement à la disposition des professionnels des informations appropriées leur permettant de réaliser plus facilement leurs propres évaluations des risques de BC et de FT »;
- Une identification, évaluation et compréhension propre des risques par le professionnel qui doit permettre à celui-ci de déterminer quelles mesures de vigilance seront à appliquer à la relation d’affaires sur base de la matérialité du risque.
« A cette fin, le professionnel doit intégrer différentes sources dans ses procédures de gestion des risques, incluant :
- Le rapport supranational de la Commission européenne sur les risques de blanchiment et de financement du terrorisme (« Supra National Risk Assessment ») ;
- L’évaluation nationale des risques en matière de blanchiment de capitaux et de financement du terrorisme (« National Risk Assessment ») ;
- Les évaluations de risques BC/FT sous-sectorielles (« sub-sector Risk Assessments») ;
- Les Orientations conjointes émises par les 3 autorités européennes de surveillance (ESMA, EBA et EIOPA) sur les facteurs de risque de blanchiment de capitaux et de financement du terrorisme (« Risk factor Joint Guidelines ») ;
- Les publications de la CSSF y relatives ».
(voy. infra « l’obligation d’effectuer une évaluation des risques »).
L’approche basée sur le risque ne peut être dissociée de la notion « d’appétit au risque » en matière de lutte contre le blanchiment d’argent.
L’appétit au risque devrait au minimum prendre en considération des éléments tels que les activités commerciales exercées, la clientèle cible et la clientèle indésirable, les pays/zones géographiques concernées, les structures prohibées (…).
« La détermination par le professionnel de son approche fondée sur le risque est obligatoirement basée sur la définition de l’appétit pour le risque BC/FT, telle qu’approuvée par le conseil d’administration et transposée par la direction autorisée.
La stratégie doit être en cohérence avec cette approche. Les politiques, procédures et contrôles en matière de LBC/FT mis en place au sein du professionnel doivent être cohérents avec l’appétit pour le risque préalablement défini. Cette définition et stratégie doivent être communiquées de manière précise, claire et compréhensible à l’ensemble du personnel concerné ».
Section 1. Identification et évaluation des risques
« (…) Les pays devraient identifier, évaluer et comprendre les risques de BC et de FT auxquels ils sont exposés et devraient prendre des mesures (…) et mobiliser des ressources afin de s’assurer que les risques sont efficacement atténués. (…) les pays devraient appliquer une approche fondée sur les risques pour s’assurer que les mesures de prévention et d’atténuation du BC et du FT sont à la mesure des risques identifiés ». Cette recommandation a été mise à jour par le GAFI en novembre 2020 afin que les professionnels identifient, évaluent et atténuent les risques de violations potentielles de non application ou de contournement des sanctions financières relatives au financement de la prolifération.
Tant la Loi que le règlement CSSF n°12-02 demandent aux professionnels de procéder à une identification et à une évaluation des risques de blanchiment et de financement du terrorisme auxquels ils sont exposés.
En sus de l’obligation d’évaluation du risque global par le professionnel en rapport avec son activité, celui-ci procède aussi à une classification des risques individuels concernant ses relations d’affaires.
Le professionnel classe l’ensemble de sa clientèle suivant une combinaison cohérente de facteurs de risque.
« En dehors des cas où le niveau de risque est à considérer comme élevé en vertu de la Loi ou du Règlement grand-ducal, ce niveau est évalué suivant une combinaison cohérente de facteurs de risque définis par chaque professionnel en fonction de l’activité qu’il exerce et qui sont inhérents aux catégories de risques suivants :
– type de clients (incluant le client, mandataire, bénéficiaire effectif) ;
– pays et zones géographiques ;
– produits, services, transactions ou;
– canaux de distribution ».
« Les professionnels déterminent l’étendue des mesures de vigilance (à l’égard de la clientèle) en fonction de leur appréciation des risques liés aux types de clients, aux pays ou zones géographiques et aux produits, services, transactions ou canaux de distribution particuliers ».
La Loi distingue clairement l’obligation pour le professionnel d’effectuer une évaluation des risques de blanchiment des capitaux et de financement du terrorisme propres à l’établissement/institution concerné selon ses secteurs d’activité, de l’obligation d’appliquer des mesures de vigilance à l’égard de sa clientèle dont l’étendue dépendra de l’appréciation des risques ayant trait au prospect/client.
« 1) Les professionnels prennent des mesures appropriées pour identifier, évaluer et comprendre les risques de blanchiment et de financement du terrorisme auxquels ils sont exposés, en tenant compte des facteurs de risques, y compris ceux liés à leurs clients, pays, zones géographiques, produits, services, transactions ou canaux de distribution. Ces mesures sont proportionnées à la nature et à la taille des professionnels».
Cet article est accompagné de trois annexes (II à IV) dans la Loi renseignant d’abord une liste non exhaustive des variables de risque que le professionnel devrait automatiquement prendre en considération, puis deux listes de facteurs/éléments indicatifs d’un risque potentiellement moins et plus élevé.
« 2) Les professionnels envisagent tous les facteurs de risques pertinents avant de déterminer le niveau de risque global et le niveau et le type de mesures appropriées à appliquer pour gérer et atténuer ces risques. Les professionnels s’assurent en outre que les informations sur les risques contenues dans l’évaluation nationale et supranationale des risques ou communiquées par les autorités de contrôle, les organismes d’autorégulation ou les autorités européennes de surveillance soient intégrées dans leur évaluation des risques.
Les professionnels sont tenus de documenter, tenir à jour et de mettre à la disposition des autorités de contrôle et organismes d’autorégulation les évaluations des risques visées au paragraphe (1). Les autorités de contrôle et les organismes d’autorégulation peuvent décider que des évaluations des risques individuelles et documentées ne sont pas obligatoires si les risques spécifiques inhérents au secteur sont clairement identifiés et compris.
3) Les professionnels doivent identifier et évaluer les risques de blanchiment et de financement du terrorisme pouvant résulter du développement de nouveaux produits et de nouvelles pratiques commerciales, y compris les nouveaux mécanismes de distribution, et de l’utilisation de technologies nouvelles ou en développement en lien avec de nouveaux produits ou les produits préexistants.
Les professionnels doivent : a) évaluer les risques avant le lancement ou l’utilisation de ces produits, pratiques et technologies ; et b) prendre des mesures appropriées pour gérer et atténuer ces risques ».
L’OBLIGATION D’EFFECTUER UNE EVALUATION DES RISQUES
Facteurs de risques
Sous-section 1. Facteurs et types d’éléments indicatifs d’un risque potentiellement plus élevé visés à l’article 3-2, paragraphe (I), alinéa 2 de la Loi
Les risques spécifiques repris ici seront développés plus en avant dans des sections dédiées par secteurs d’activités.
Le professionnel retiendra notamment un risque potentiellement plus élevé dans les cas de figure ci-dessous :
1.1 Facteurs de risques inhérents aux clients
- relation d’affaires se déroulant dans des circonstances inhabituelles
- clients résidant dans des zones géographiques à haut risque (…)
- personnes morales ou constructions juridiques qui sont des structures de détention d’actifs personnels
- sociétés dont le capital est détenu par des actionnaires apparents (nominee shareholders) ou représenté par des actions au porteur
- activités nécessitant beaucoup d’espèces
- sociétés dont la structure de propriété paraît inhabituelle ou exagérément complexe au regard de la nature de leurs activités
- client ressortissant d’un pays tiers qui demande des droits de séjour ou la citoyenneté dans l’État membre moyennant des transferts de capitaux, l’achat de propriétés ou d’obligations d’État ou encore d’investissements dans des sociétés privées dans cet État membre.
L’OCDE a publié le 17 octobre 2018 des recommandations ayant trait aux listes de programmes de résidence et de citoyenneté moyennant investissement (« Citizenship by Investment » et « Residence by Investment ») qui sont susceptibles de présenter un risque élevé pour l’intégrité de la norme commune de déclaration (NCD).
Selon l’OCDE, les institutions financières sont tenues de prendre dûment en considération cette liste lorsqu’elles s’acquittent de leurs obligations de vigilance en matière de transparence fiscale.
Ces programmes peuvent également être potentiellement utilisés à mauvais escient pour dissimuler des actifs à l’étranger en échappant à l’obligation de déclaration en vertu de la norme de déclaration commune de l’OCDE.
Outre les facteurs de risque plus élevés inhérents aux clients, le professionnel devra toujours intégrer les variables de risque ci-dessous à l’égard de son client :
« Les professionnels prennent en considération, dans leur évaluation des risques de blanchiment et de financement du terrorisme, liés aux types de clients, aux pays et zones géographiques et aux produits, services, opérations ou canaux de distribution particuliers, les variables de risques liées à ces catégories de risques. Ces variables, prises en compte de manière individuelle ou combinée, peuvent augmenter ou diminuer le risque potentiel et, par conséquent, avoir une incidence sur le niveau approprié des mesures de vigilance à mettre en œuvre ».
En bref, les facteurs de risque sont liés au client lui-même, du fait de son comportement et des circonstances inhabituelles suivant lesquelles se déroule la relation d’affaires.
Il existe des cas de figure dans lesquels le professionnel ne sera pas en mesure d’accepter d’entrer en relation d’affaires avec un client, soit parce que la loi l’interdit, soit parce que les risques inhérents aux clients sont trop élevés, notamment:
– lorsque le client figure sur une (des) liste(s) officielle(s) de personnes/entités/groupes soumis à des mesures restrictives en matière financière et dans le cadre de la lutte contre le financement du terrorisme
– lorsque la nature de l’activité exercée par le client représente un risque trop élevé qui ne peut être atténué ou qui ne correspond pas à la politique de risque définie préalablement par le professionnel
– lorsque le professionnel n’est pas en mesure d’offrir le produit/service demandé par le prospect (par ex. l’activité de banque dépositaire de crypto monnaie, le service de « money remittance »)
– lorsque le professionnel constate que le prospect n’est pas en mesure d’apporter les garanties nécessaires, telles que déterminées par le professionnel concerné, justifiant d’une transparence/conformité fiscale
– lorsque le professionnel constate que les justificatifs permettant à celui-ci de comprendre la structure d’une société/chaîne de sociétés ou la justification économique d’un montage financier ne sont pas réunis
– tout autre circonstance ne permettant pas au professionnel de lever d’éventuels doutes
1.2 Facteurs de risques liés aux produits/services/transactions/canaux de distribution
a) banque privée ;
La banque privée, ou plus exactement la gestion de patrimoine « consistant à fournir des services bancaires et autres services financiers à des individus fortunés », est citée comme présentant un risque élevé. La présence de cette activité parmi les facteurs de risque tient au risque de fraude fiscale selon l’Autorité Bancaire européenne (EBA). Celle-ci précise que « les établissements proposant des services de gestion de patrimoine peuvent être particulièrement vulnérables aux abus de clients qui souhaitent dissimuler l’origine de leurs fonds ou, par exemple, échapper à l’imposition dans leur pays ou territoire d’origine ».
Le comité mixte des autorités européennes de supervision considère l’activité de banque privée/gestion de patrimoine comme constitutive « d’un risque potentiellement plus élevé ». Le professionnel appréciera dans chaque cas les risques liés au client en considération d’une série de critères de risque ou de circonstances propres à la relation d’affaires.
Il existe ainsi des facteurs de risques différents selon le profil du client qui souhaite nouer une relation d’affaires.
L’évaluation nationale des risques de blanchiment de capitaux et de financement du terrorisme 2020 note que la banque privée est particulièrement exposée aux risques de blanchiment de capitaux, notamment pour la complexité de certains produits comme les activités de structuration du patrimoine.
b) produits ou transactions susceptibles de favoriser l’anonymat ;
c) relations d’affaires ou transactions qui n’impliquent pas la présence physique des parties et qui ne sont pas assorties de certaines garanties telles que des moyens d’identification électronique, des services de confiance pertinents au sens du règlement (UE) n° 910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées;
d) paiements reçus de tiers inconnus ou non associés ;
e) nouveaux produits et nouvelles pratiques commerciales, notamment les nouveaux mécanismes de distribution, et utilisation de technologies nouvelles ou en cours de développement pour des produits nouveaux ou préexistants.
f) transactions liées au pétrole, aux armes, aux métaux précieux, aux produits du tabac, aux biens culturels et autres objets ayant une valeur archéologique, historique, culturelle et religieuse, ou une valeur scientifique rare, ainsi qu’à l’ivoire et aux espèces protégées ».
1.3 Facteurs de risque géographique
Les facteurs/types d’éléments indicatifs d’un risque potentiellement plus élevé sont les suivants:
« a) (…) les pays identifiés par des sources crédibles, telles que des évaluations mutuelles, des rapports d’évaluation détaillée ou des rapports de suivi publiés, comme n’étant pas dotés de systèmes efficaces de lutte contre le blanchiment et contre le financement du terrorisme ;
(voir par ex. les évaluations mutuelles ou rapports d’évaluation du GAFI)
b) pays identifiés par des sources crédibles comme présentant des niveaux significatifs de corruption ou d’autre activité criminelle (voir par ex. la liste des pays (corruption) publiée par Transparency International)
c) pays faisant l’objet de sanctions, d’embargos ou d’autres mesures similaires imposés, par exemple, par l’Union européenne ou par les Nations unies (voir liste des sanctions du Conseil de Sécurité des Nations Unies) ;
d) pays qui financent ou soutiennent des activités terroristes ou sur le territoire desquels opèrent des organisations terroristes désignées ».
« Les autorités de contrôle et les organismes d’autorégulation fournissent aux professionnels des informations sur les pays qui n’appliquent pas ou appliquent insuffisamment les mesures de lutte contre le blanchiment et contre le financement du terrorisme et notamment sur les préoccupations suscitées par les défaillances des dispositifs de lutte contre le blanchiment et contre le financement du terrorisme des pays concernés.
Les autorités de contrôle peuvent imposer aux établissements de crédit et aux établissements financiers d’adopter une ou plusieurs des mesures de vigilance renforcées et proportionnées aux risques (…), dans le cadre de relations d’affaires et de transactions avec des personnes physiques ou des entités juridiques impliquant de tels pays ».
En sus de ceux-ci, il revient au professionnel d’établir la liste des pays présentant un risque élevé de blanchiment ou financement du terrorisme.
Dans la pratique, le professionnel dresse habituellement des listes classifiant les pays en différentes catégories : risque faible, risque moyen, risque élevé. Certains pays peuvent présenter des risques considérés comme inacceptables par certains établissements.
L’annexe III infra fournit au professionnel les liens pertinents relatifs notamment aux listes de pays soumis à des interdictions et mesures restrictives en matière financière ainsi que les pays tiers présentant un faible risque de corruption/financement du terrorisme.
Le professionnel veillera à respecter les instructions publiées par la CSSF le cas échéant.
1.4 Les sanctions financières internationales
A) L’essentiel sur les sanctions financières internationales
Les sanctions financières sont des mesures restrictives en matière financière prises à l’encontre de certains États, personnes physiques ou morales, d’entités et de groupes concernant un changement de politique (intérieure ou étrangère) ou d’activité de la part des États ou des personnes désignés.
Le Ministère des Finances est compétent pour traiter de toutes les questions relatives à la mise en œuvre des sanctions financières tant par ceux visés par ces mesures que par ceux qui sont tenus de les appliquer.
Par conséquent, les professionnels informent le Ministère des Finances de l’exécution de chaque mesure restrictive (y compris les tentatives de transactions) prise à l’égard d’un État, d’une personne physique ou morale, d’une entité ou d’un groupe désigné conformément à la loi du 19 décembre 2020 relative à la mise en œuvre de mesures restrictives en matière financière.
Dans le même ordre d’idées, les professionnels qui ont signalé un cas de sanction au Ministère des Finances adressent simultanément à la CSSF une copie de ce rapport.
La CSSF reste l’autorité de surveillance compétente, qui vérifiera le respect par les professionnels de la loi sur les mesures restrictives en matière financière. Par conséquent, la CSSF pourra appliquer des sanctions administratives aux professionnels qui ne mettraient pas en œuvre les procédures/processus appropriés à cet égard.
Toute notification au Ministère des Finances et associée à des mesures restrictives sera effectuée sans préjudice pour les professionnels de faire, le cas échéant, des déclarations d’activités/transactions suspectes à la Cellule de Renseignements Financiers.
QUE FAIRE ?
Afin de parer à l’éventualité qu’un client/prospect puisse être sujet à sanctions internationales, le professionnel se doit de disposer de procédures strictes d’identification des personnes et de suivi des transactions impliquant notamment des ressources techniques/ systèmes de filtrage basés sur des listes de sanctions internationales (filtrages noms, transactions et messagerie SWIFT).
Dans le cadre spécifique de la lutte contre le financement du terrorisme et le financement de la prolifération, les banques prennent notamment en considération:
– la loi du 19 décembre 2020 relative à la mise en œuvre des mesures restrictives en matière financière.
La loi du 19 décembre 2020 est venue abroger la loi du 27 octobre 2010 et met en œuvre au Luxembourg les mesures restrictives en matière financière adoptées à l’encontre de certains États, personnes physiques et morales, entités et groupes par les dispositions des résolutions adoptées par le Conseil de sécurité des nations et certains actes de l’Union européenne.
– la liste des sanctions de l’Office of Foreign Assets Control (États-Unis d’Amérique) en ce que celles-ci ont une portée extraterritoriale
Les procédures susmentionnées couvrent les mesures de vigilance à l’égard de la clientèle énoncées dans la loi, qui englobent l’identification des clients/propriétaires bénéficiaires, mais aussi l’examen/le suivi des transactions tout au long des relations avec les clients, « sans délai », afin de garantir que les fonds ne seront pas mis à la disposition d’États, de personnes, d’entités et de groupes soumis à des mesures restrictives en matière financière.
Voir également les meilleures pratiques internationales du GAFI : sanctions financières ciblées liées au financement du terrorisme (R6).
Aussitôt qu’un cas de sanction est repéré, les professionnels ne doivent pas hésiter à en référer immédiatement au Ministère des Finances et à lui fournir toutes les informations nécessaires relatives au cas en question.
La déclaration des cas de sanctions au Ministère va de pair avec le blocage dur du compte (espèces & instruments financiers) sans délai, ceci étant une obligation de résultat. En effet, les professionnels doivent appliquer sans délai les mesures restrictives requises, donc procéder au gel des fonds appartenant à la personne listée.
Voir aussi l’avis de la Commission sur une demande d’interprétation concernant le gel des fonds.
La déclaration faite au Ministère des Finances ne doit pas être confondue avec une déclaration de transaction/activité suspecte faite à la cellule de renseignement financier.
En effet, la règle du » no-tipping off » oblige les professionnels à ne pas informer leurs clients/prospects du fait que leurs comptes sont bloqués, alors que cette règle ne s’appliquerait pas aux mesures restrictives dans le cas où aucune STR/SAR n’aurait été faite. La liste des sanctions étant publiquement disponible, les clients faisant l’objet de mesures restrictives financières pourraient éventuellement être informés du fait que leurs comptes sont bloqués.
Les conséquences quant à la non-prise en considération des personnes/groupes/entités/pays figurant notamment sur ces listes peuvent impacter considérablement les activités/services du professionnel prestés/effectués à l’étranger (poursuites pénales, sanctions administratives, risque de réputation, amendes substantielles, suspension/retrait d’agrément-licence).
L’ABBL recommande au professionnel de vérifier régulièrement la liste des sanctions du Conseil de Sécurité des Nations Unies et de s’abonner gratuitement à la Newsletter des sanctions financières créée par le ministère des finances. Le professionnel peut aussi consulter et s’abonner à la liste consolidée des sanctions de l’Union européenne. Le Ministère des Finances met également à disposition des outils utiles pour aider les professionnels à rester informés du traitement des sanctions financières internationales. Il en est de même pour la CSSF avec son site dédié aux sanctions financières internationales.
L’ABBL préconise également d’opter pour la mise en place d’une structure interne qui pourrait ressembler à celle illustrée ci-dessous:
La Commission européenne a estimé dans un avis du 7 juin 2019 que tous les fonds et ressources économiques qui appartenaient aux entités énumérées à l’annexe VI du règlement 2016/44 englobent les intérêts, les dividendes ou autres revenus d’actifs ou plus-values perçus sur les actifs gelés.
QUE FAIRE … lorsque le professionnel effectue ses recherches ?
En ce qui concerne les mesures de gel des avoirs, les renseignements relatifs aux pseudonymes qui figurent dans des informations d’identification pourraient être pris en compte selon leur fiabilité. Le professionnel effectue ses recherches à partir de pseudonymes fiables, c.à.d. des pseudonymes de grande valeur considérés comme ayant une grande importance à des fins d’identification.
Les pseudonymes peu fiables, c.à.d. les pseudonymes de faible valeur considérés comme ayant une faible importance à des fins d’identification aident les opérateurs économiques et autres acteurs à confirmer l’identification des personnes visées par des sanctions.
Le professionnel peut être confronté à une situation d’homonymie, lorsque le nom et le prénom d’un prospect sont identiques à ceux d’une personne listée, y compris les cas où le nom n’est pas discernable du prénom.
En cas d’homonymie, les comptes sont mis sous vigilance et les mouvements sont suspendus. Il y a lieu d’alerter le Ministère des Finances pour qu’il statue sur la situation.
Il ne suffit pas que le nom et le prénom de la personne concernée soient identiques à ceux d’une personne listée pour conclure qu’il s’agit de la même personne. Au contraire, il peut y avoir d’autres informations qui démontrent très clairement qu’il s’agit de personnes bien différentes. A titre d’exemple, ces informations peuvent révéler une différente localisation géographique, des fonctions et professions différentes, des dates de naissance différentes, des numéros de passeports différents.
Le professionnel confronté à des cas d’homonymie éventuels recherche des informations supplémentaires avant toute prise de décision et garde une trace écrite des résultats de sa recherche. Si de l’ensemble de ces informations il résulte qu’il s’agit manifestement d’une autre personne, il n’y aura pas lieu de contacter le Ministère des Finances.
En cas de doute, ou si la recherche d’homonymie ne s’avère pas concluante, le professionnel prend contact avec le Ministère des Finances et suspend les mouvements des comptes concernés (trésorerie et instruments financiers) jusqu’à la clarification finale. La disponibilité d’un nombre limité d’informations ne justifie pas à elle seule la poursuite d’une opération.
B) Clarifications spécifiques liées au régime des sanctions financières nationales/internationales
CHAMP D’APPLICATION DU SCREENING du règlement CSSF 12-02 :
Les professionnels doivent mettre en place des mécanismes de contrôle qui leur permettent, lors de l’acceptation des clients ou du suivi des relations d’affaires, d’identifier, entre autres :
- les personnes visées aux articles 30, 31 et 33 du règlement ;
les fonds en provenance ou à destination des Etats, personnes, entités ou groupes visés à l’article 33 du présent règlement (…) »
Le filtrage des noms doit inclure tous les comptes des clients et leurs transactions et s’applique aux clients, mandataires, initiateurs et bénéficiaires effectifs ainsi que, en ce qui concerne la surveillance des transferts de fonds, au payeur d’un transfert de fonds entrant et au destinataire d’un transfert de fonds sortant du compte du client.
A retenir :
Le périmètre de filtrage n’est pas soumis à l’approche par les risques consacrée par la Loi et ne peut être invoqué/utilisé par les professionnels lors de l’application du filtrage des sanctions.
Les recherches d’identification effectuées doivent être dûment documentées, y compris dans les cas où il n’y a pas de résultats positifs.
Les professionnels ont également l’obligation d’identifier les Etats, personnes, entités et groupes faisant l’objet de mesures restrictives en matière financière également pour les avoirs qu’ils gèrent et de s’assurer que les fonds ne seront pas mis à la disposition de ces Etats, personnes, entités ou groupes.
CALENDRIER ET FRÉQUENCE DES FILTRAGES
Les professionnels doivent procéder à un filtrage de noms :
- avant d’établir une nouvelle relation d’affaires;
- avant d’effectuer des virements par débit du compte du client ou avant de créditer des fonds entrants sur les comptes des clients ;
- lors de relations d’affaires de longue date.
Dans son rapport annuel d’activité de 2014, la CSSF a indiqué que » Les contrôles tels que le « name matching », c’est-à-dire les contrôles sur la base de données clients effectués en relation avec :
- des actes directement applicables au Luxembourg, tels qu’adoptés par l’UE (en particulier, les règlements de l’UE) et comprenant des interdictions et des mesures financières restrictives à l’encontre de certaines personnes, entités ou groupes respectivement i. dans le cadre de la lutte contre le financement du terrorisme ou ii. dans le cadre d’autres embargos financiers ; et
- les textes réglementaires nationaux concernant les sanctions financières relatives à la lutte contre le financement du terrorisme basés (sur la loi du 27 octobre 2010) mettant en œuvre les résolutions du Conseil de sécurité des Nations unies (et règlement grand-ducal du 29 règlementaires
» doit être effectué sans délai après la publication de chaque nouvel amendement « .
Ces contrôles sont indépendants de toute autre fréquence de contrôle, de quelque nature que ce soit (par exemple, en matière de détection des PPE), qui aurait été mise en place par le professionnel « .
» Sans délai » signifie, dans le cadre de la mise en œuvre des sanctions financières, y compris le gel des avoirs ou d’autres ressources économiques ou d’autres mesures restrictives prises en application des textes susmentionnés :
» un délai de, idéalement, quelques heures après la publication des mesures par la CSSF et/ou le Ministère des Finances « . En tout état de cause, il convient de l’interpréter en relation avec la nécessité d’empêcher la fuite ou la dispersion des fonds ou autres biens liés aux personnes, entités et groupes désignés.
QUE FAIRE ?
Les professionnels doivent s’assurer que leurs outils de dépistage sont mis à jour sans délai avec les noms des personnes ou entités nouvellement désignées ou radiées après la publication des mesures par la CSSF et/ou le Ministère des Finances.
Les professionnels doivent également procéder à un screening des noms des relations d’affaires de longue date sans délai après la publication des mesures par la CSSF et/ou le Ministère des Finances et prendre en compte les modifications également lors de l’établissement de nouvelles relations d’affaires ou de l’exécution de virements entrants/sortants.
1.5 Risques liés aux actifs virtuels (ou actifs cryptographiques) et aux prestataires de services liés aux actifs virtuels
Aperçu
Dans le contexte actuel de l’écosystème de croissance des transactions transfrontalières/numériques et de l’augmentation rapide des transactions impliquant des crypto-actifs, il est nécessaire de comprendre et d’atténuer les risques de blanchiment et de financement du terrorisme associés aux fournisseurs/activités de crypto-actifs. Les évaluations nationales des risques du Luxembourg de 2018 et 2020 ont mis en évidence les actifs virtuels (« VA ») comme l’un des principaux risques émergents et évolutifs de ML/TF.
Les banques sont exposées aux risques découlant des AV car elles sont le point de contact des utilisateurs d’échanges centralisés avec le secteur financier traditionnel. Les criminels qui utilisent des VA pour des activités de blanchiment d’argent ou de financement du terrorisme doivent convertir les VA en monnaie fiduciaire, ou vice-versa. À ces fins, les criminels utilisent des bourses, dont les dépôts et les retraits sont généralement effectués vers et depuis des comptes bancaires.
Les établissements de crédit sont exposés aux risques découlant des monnaies virtuelles (« VA ») principalement dans les circonstances où les clients des établissements de crédit et financiers réglementés traitent des VA ou lorsqu’ils sont des VASP. Les principaux facteurs contribuant à l’exposition accrue aux risques de blanchiment de capitaux et de financement du terrorisme sont la transparence limitée des transactions en monnaies virtuelles et l’identité des personnes impliquées dans ces transactions.
Le GAFI attire en effet l’attention sur les deux principales menaces liées au paysage des risques associés aux VAs :
- L’utilisation continue d’outils et de méthodes visant à accroître l’anonymat des transactions de VAs mettant en danger la « règle du voyage » (c’est-à-dire l’identification des initiateurs et des bénéficiaires des transactions de VAs), et donc potentiellement les procédures KYC mises en place par les VASP;
- Les VASP enregistrés ou opérant dans des juridictions qui ne disposent pas d’une réglementation efficace en matière de LBC/FT, révélant éventuellement la faiblesse des systèmes et procédures de LBC/FT.
Définitions
Les professionnels peuvent être impliqués dans des activités de VAs ou même agir en tant que Virtual Asset Service Providers (VASP).
Un actif virtuel est « une représentation numérique de la valeur, y compris une monnaie virtuelle, qui peut être échangée ou transférée numériquement, et peut être utilisée à des fins de paiement ou d’investissement, à l’exception des actifs virtuels qui remplissent les conditions de la monnaie électronique et des actifs virtuels qui remplissent les conditions des instruments financiers ».
Un VASP est toute personne fournissant, au nom ou pour le compte de son client, un ou plusieurs des services suivants :
(a) l’échange entre actifs virtuels et monnaies fiduciaires, y compris le service d’échange entre monnaies virtuelles et monnaies fiduciaires ;
(b) l’échange entre une ou plusieurs formes d’actifs virtuels ;
(c) le transfert d’actifs virtuels ;
(d) la garde ou l’administration d’actifs virtuels ou d’instruments permettant de contrôler des actifs virtuels, y compris le service de garde de portefeuilles ;
(e) la participation et la fourniture de services financiers liés à l’offre ou à la vente d’un actif virtuel par un émetteur.
Comprendre les VA et les VASP
Pour que les institutions financières puissent mieux appréhender les risques de blanchiment et de financement du terrorisme de leurs clients SVA, il est nécessaire de comprendre brièvement les risques de blanchiment et de financement du terrorisme auxquels ces derniers doivent faire face. L’exposition des VASP aux menaces de BC/FT est due à de multiples facteurs, dans la mesure où ces institutions financières sont exposées :
- Les relations d’affaires non présentielles
- La nature internationale des affaires
- Le volume élevé des transactions
- La complexité technologique des AV/ASP
- Les propriétés anonymes des VAs
- La forte volatilité et l’évaluation complexe des VA
Exposition potentielle des VASP à chaque étape du processus de BC/FT :
Atténuation des risques (aperçu général)
CE QU’IL FAUT FAIRE
Même si les activités de certains VASP peuvent présenter un niveau de risque plus élevé, les professionnels peuvent adapter leur approche basée sur le risque en conséquence, en vue d’éviter le type de dé-risque qui peut restreindre l’innovation numérique et entraver la croissance de la technologie à registres distribués au Luxembourg. Dans l’ensemble, l’appétit pour le risque des professionnels doit prendre en considération les différents aspects des activités des VA et VASP.
Les professionnels peuvent atténuer les risques en présence notamment en :
- S’assurant que les VASPs disposent de processus et procédures solides en matière de LBC/FT, notamment en ce qui concerne le respect de la règle de déplacement en présence de plateformes d’échange de crypto-monnaies (« CEP »), le pourcentage de transactions liées à des portefeuilles non hébergés/privés et les mécanismes utilisés pour le filtrage des sanctions;
- Gardant à l’esprit que les indicateurs de drapeaux rouges de base en matière de BC/FT pour les VASP ne diffèrent pas substantiellement de ceux rencontrés par les institutions financières. Les signaux d’alerte concernent en effet les transactions (taille/fréquence/modèles), l’anonymat des clients, les irrégularités observées au cours du processus de CDD, la provenance des fonds ou les risques géographiques;
- Se familiariser avec les modèles d’entreprise des VASP, par exemple les contreparties avec lesquelles ils traitent, s’ils sont enregistrés/licenciés dans une juridiction suffisamment surveillée aux fins de lutte contre le blanchiment et le financement du terrorisme;
- Demander aux VASP une charte de conformité avec les exigences en matière de LBC/FT, en particulier pour les VASP non établis au Luxembourg. Les VASP luxembourgeois doivent se conformer à la loi du 12 novembre 2004 au même titre que les autres professionnels locaux ; ce n’est pas forcément le cas des VASP situés dans d’autres Etats membres de l’UE ou dans des pays tiers;
- Évaluer, sur la base de la localisation et du modèle économique des VASP, s’ils bénéficient d’une surveillance réglementaire adéquate.
Pour des ressources supplémentaires concernant les VASP, veuillez consulter l’annexe IV (« liens utiles » – Actifs virtuels).
Atténuation des risques pour les clients traitant avec des monnaies virtuelles ou cryptées
Les professionnels doivent examiner le modèle d’entreprise de chaque VASP et déterminer s’ils:
- Opèrent comme une plateforme de négociation VA qui effectue des échanges entre la monnaie fiduciaire et la monnaie virtuelle;
- Opèrent en tant que plateforme d’échange de VA qui effectue des échanges entre des monnaies virtuelles;
- Opèrent comme une plateforme de négociation de VA qui permet des transactions peer-to-peer;
- Fournissent des services de garde de portefeuilles;
- Organisent, conseillent ou bénéficient d’une « offre initiale de pièces de monnaie » (ICO).
CE QU’IL FAUT FAIRE
Pour s’assurer que le niveau de risque de blanchiment et de financement du terrorisme associé à ces clients est atténué, les professionnels ne devraient pas appliquer de mesures de vigilance simplifiées.
Au minimum, dans le cadre de leurs mesures de vigilance, les entreprises doivent:
Engager un dialogue avec le client pour comprendre la nature de son activité et les risques de blanchiment et de financement du terrorisme qu’elle présente.
Outre la vérification de l’identité des bénéficiaires effectifs du client, effectuer des contrôles préalables sur les cadres supérieurs, y compris la prise en compte de toute information défavorable.
Comprendre dans quelle mesure ces clients appliquent à leurs propres clients leurs mesures de vigilance à l’égard de la clientèle, que ce soit en vertu d’une obligation légale ou sur une base volontaire.
Déterminer si le client est enregistré ou autorisé dans un État membre de l’EEE, ou dans un pays tiers, et se prononcer sur l’adéquation du régime de lutte contre le blanchiment d’argent et le financement du terrorisme de ce pays tiers.
Chercher à savoir si les entreprises qui utilisent les ICOs sous forme de VA pour lever des fonds sont légitimes et, le cas échéant, réglementées.
Dans le cas où le professionnel associe son client/prospect VASP à des risques plus élevés de blanchiment d’argent et de financement du terrorisme, des mesures d’atténuation supplémentaires doivent être envisagées.
Établissements de crédit souhaitant offrir des services liés aux actifs virtuels
Les établissements de crédit qui ont l’intention d’offrir des services d’actifs virtuels, que ce soit dans le cadre de l’article 1 (20c) de la Loi ou de toute autre activité en relation avec des actifs virtuels (par exemple l’émission de jetons référencés comme actifs et de jetons de monnaie électronique ou la tenue d’archives dématérialisées via DLT), doivent soumettre et présenter au préalable à la CSSF un business case détaillé comprenant une évaluation des risques et bénéfices, les adaptations nécessaires de leur gouvernance et de leurs cadres de gestion des risques, le traitement efficace du risque de contrepartie et de concentration et la mise en œuvre des règles de protection des investisseurs.
En outre, si des professionnels souhaitent fournir un ou plusieurs des services visés à l’article 1 (20c) de la Loi, un dossier complet de demande d’enregistrement en tant que VASP doit être préalablement soumis à la CSSF. De plus amples détails concernant les procédures d’enregistrement des VASP peuvent être trouvés sous Enregistrement d’un fournisseur de services d’actifs virtuels (VASP) – CSSF.
1.6 Menaces liées au COVID 19
La crise sanitaire du COVID-19, qui évolue constamment dans le temps, est l’occasion pour les criminels d’exploiter les craintes et les menaces qui y sont liées, en adaptant leur modus operandi et en se lançant dans de nouvelles activités criminelles.
Les professionnels doivent faire tout leur possible pour maintenir des systèmes et des contrôles efficaces afin de s’assurer qu’ils ne sont pas détournés par ces criminels qui remanient des fraudes préexistantes.
- Menaces croissantes de ML/TF découlant du COVID-19 :
Trois menaces principales ont été identifiées par les autorités publiques, ces dernières rappelant que les moyens techniques et l’expertise utilisés par les criminels pour tromper les clients/employés de banque étaient fulgurants.
- Domaines spécifiques de vulnérabilité particulière :
Six domaines du secteur financier peuvent être particulièrement exploités par les menaces émergentes, comme suit :
(1) Les services de paiement en ligne
L’essor des achats en ligne augmente à la fois le volume et la valeur des services de paiement en ligne, y compris l’utilisation des services bancaires par Internet. Les criminels pourraient ainsi avoir davantage l’occasion de dissimuler des fonds illicites dans un plus grand nombre de paiements légitimes effectués en ligne.
(2) Clients en détresse financière
Les clients (personnes physiques et morales) peuvent être mis en situation de détresse financière en raison des résultats/ondes économiques de la crise sanitaire actuelle et donc plus enclins à être exploités par des criminels cherchant à blanchir des produits illicites.
(3) Hypothèques et autres formes de prêts garantis impliquant un calendrier de remboursement régulier conduisant à la détresse financière des clients.
(4) Crédit soutenu par des garanties gouvernementales permettant d’obtenir des fonds sans avoir l’intention de rembourser l’État.
(5) Produit d’investissement en difficulté (perte de valeur significative) dans lequel les investisseurs pourraient chercher à minimiser les pertes et à donner aux criminels la possibilité d’acheter/refinancer les actifs en difficulté.
(6) Fourniture d’aide par le biais d’organisations à but non lucratif :
Lorsqu’il y a une augmentation des flux financiers par l’intermédiaire d’organisations à but non lucratif vers des pays à haut risque, il peut y avoir un risque accru d’activité illicite et une attention particulière doit être accordée aux risques de TF.
QUE FAIRE ? (mesures d’atténuation)
Les professionnels doivent maintenir des systèmes et des contrôles efficaces afin de garantir que le système financier n’est pas utilisé de manière abusive ou détournée à des fins de blanchiment d’argent ou de financement du terrorisme.
Les domaines auxquels les professionnels devraient accorder une attention particulière sont les suivants :
(1) Surveillance des transactions
Accordez une attention particulière à tout schéma inhabituel ou suspect dans le comportement et les flux financiers des clients. Les professionnels doivent prendre des mesures sensibles au risque pour établir l’origine légitime des flux financiers inattendus, en particulier lorsque ces flux proviennent de clients appartenant à des secteurs dont on sait qu’ils ont été touchés par le ralentissement économique et les mesures d’atténuation COVID-19.
(2) Mesures de vigilance à l’égard de la clientèle (CDD)
Examiner comment les mesures CDD pourraient être renforcées, en tenant dûment compte de l’approche fondée sur le risque, afin d’atténuer l’impact de l’absence de contact direct avec les prospects/clients (par exemple, vérifications plus fréquentes par rapport aux listes de PPE, réalisation de vérifications supplémentaires globales à des fins de DCE, etc….).
Dans sa circulaire COVID, la CSSF renvoie à ses FAQ sur la lutte contre le blanchiment d’argent et le financement du terrorisme et les exigences informatiques pour les méthodes spécifiques d’embarquement des clients/KYC pour l’identification/vérification par chat vidéo. Il y est indiqué que « la vérification de l’identité du client par vidéo-chat en direct, ou l’utilisation de moyens d’identification électroniques, pourrait être considérée comme une mesure de protection appropriée compte tenu des exigences susmentionnées (c’est-à-dire l’absence de contact face à face) ».
Les professionnels ayant recours à l’onboarding vidéo à distance doivent néanmoins continuer à utiliser d’autres mesures d’atténuation et à collecter des documents supplémentaires à des fins de diligence raisonnable pour les clients/OB.
(3) Évaluation du risque de blanchiment de capitaux et de financement du terrorisme
Adoptez une approche dynamique de l’évaluation des risques de blanchiment et de financement du terrorisme et intégrez les risques liés au COVID-19 dans vos matrices de risques.
(4) Coopération avec les autorités
La coopération avec les autorités nationales est essentielle pour dissuader le ML/TF. Les professionnels doivent consulter régulièrement toute orientation fournie par le CRF ou la CSSF et essayer de participer à tout partenariat public-privé (ou similaire) impliquant des représentants publics nationaux.
Le GAFI, dans ses deux orientations COVID 19, énonce une série d’actions que les Etats et les acteurs financiers pourraient envisager de prendre en réponse aux défis COVID 19, notamment pour faire face aux nouvelles menaces COVID 19.
Section 2. Gestion et atténuation des risques
Les orientations finales sur les facteurs de risque publiées par le comité mixte des Autorités européennes de surveillance le 4 janvier 2018 contiennent des recommandations spécifiques propres à certains secteurs d’activités permettant le cas échéant d’atténuer les risques encourus. Elles sont reprises dans la circulaire CSSF 21/782 du 24 septembre 2021.
Aussi, les principes sur la gestion des risques figurant dans le Règlement CSSF n°12-02 seront d’abord rappelés avant d’introduire les suggestions sectorielles telles que préconisées par les Autorités européennes de surveillance.
2.1 Rappel des dispositions légales et réglementaires de l’article 4 de la Loi et du Règlement CSSF n° 12-02
« Les professionnels doivent mettre en place des politiques, contrôles et procédures pour atténuer et gérer efficacement les risques de blanchiment et de financement du terrorisme identifiés au niveau international, européen, national sectoriel et du professionnel lui-même ».
« (…) Ces politiques doivent être approuvés par le conseil d’administration du professionnel. Les procédures y relatives doivent être approuvées par la direction autorisée ou par le conseil d’administration pour les fonds sous la surveillance de la CSSF».
Les « contrôles » visent l’ensemble des contrôles au sens large mis en place au sein de l’établissement du professionnel afin de gérer et d’atténuer efficacement les risques de BC/FT auxquels le professionnel est exposé, y compris la mise en œuvre de toutes les procédures et le contrôle du respect par le professionnel de l’ensemble de ses obligations professionnelles en la matière.
« (2) Les professionnels déterminent l’étendue des mesures de vigilance énoncées à l’article 3 paragraphe 2 de la Loi en fonction du niveau de risque attribué à chaque client (…). Lorsque des mesures de vigilance renforcées sont requises en vertu de la Loi ou du Règlement grand-ducal (du 1er février 2010) ou du présent règlement (CSSF n°12-02), toutes ces mesures doivent être appliquées, mais l’étendue de celles-ci peut varier en fonction du niveau spécifique de risque déterminé́ par le professionnel ».
« (3) L’adaptation de l’étendue des mesures de vigilance au niveau de risque s’effectuera dès le stade de l’identification et de la vérification de l’identité́ (…)».
Concernant les pays membres de l’UE, il existe une présomption d’équivalence, assortie cependant d’une réserve : cette présomption tombe au cas où des informations pertinentes laissent à penser que cette présomption ne peut être maintenue.
Le fait de considérer un pays comme équivalent ne peut être maintenu dans le temps sans analyse régulière. La conclusion que des obligations sont équivalentes doit régulièrement faire l’objet d’une révision, notamment lorsque de nouvelles informations pertinentes sont disponibles sur le pays concerné.
Enfin, même si un pays est considéré par le professionnel comme équivalent, cela ne le dispense pas d’effectuer une évaluation des risques lors de l’acceptation du client et ne le dispense pas d’appliquer des mesures de vigilance renforcées pour les cas de risque élevé.
2.2 Tableau récapitulatif des éléments clés d’atténuation des risques
(selon les orientations sur les facteurs de risque du comité mixte des autorités de surveillance bancaire européennes du 1er mars 2021)
(Voy. aussi l’annexe III de la Loi : « éléments indicatifs d’un risque potentiellement moins élevé ».)
Risques Produits Services |
|
Risques Transactions |
|
Risques Canaux de distribution |
|
Risques Client |
|
Risques Pays |
Par ailleurs, l’article 7 (1) du Règlement CSSF n°12-02 retient qu’: « (...) il appartient à chaque professionnel d’apprécier si un État membre ou un pays tiers impose des obligations équivalentes à celles prévues par la Loi ou la directive (UE) 2015/849 en fonction des circonstances particulières de l’espèce. Les raisons menant à la conclusion qu’un État membre ou un pays tiers impose des obligations équivalentes doivent être documentées au moment de la prise de décision et doivent se baser sur des informations pertinentes et à jour (…) ». |
2.3 Atténuation des facteurs de risque spécifiques selon les secteurs d’activités concernés
Le titre II des orientations finales sur les facteurs de risque publiées par le comité mixte des Autorités européennes de surveillance établit des lignes de risque sectorielles.
On retrouve par exemple les activités de banques correspondantes, banques de détail, gestion de patrimoine (banque privée) ou émission de monnaie électronique.
D’une manière générale, les orientations définissent tout d’abord les facteurs de risque sectoriels accrus puis mentionnent les critères susceptibles de réduire les risques en présence.
Les facteurs de risque repris ci-dessous ne sont pas exhaustifs. Ils peuvent utilement compléter ceux déterminés par le professionnel qui effectuera son analyse au cas par cas :
Banque de détail :
Facteurs augmentant les risques | Facteurs contribuant à diminuer le risque | |
---|---|---|
Produits, Services, Transactions |
(La Loi reprend la recommandation 15 du GAFI) |
« Les professionnels doivent identifier et évaluer les risques de BC ou de FT pouvant résulter du développement de nouveaux produits et de nouvelles pratiques commerciales, y compris de nouveaux mécanismes de distribution ainsi que de l’utilisation de technologies nouvelles ou en développement en lien avec de nouveaux produits ou des produits préexistants ». « Les professionnels doivent : a) évaluer les risques avant le lancement ou l’utilisation de ces produits, pratiques et technologies ; b) prendre des mesures appropriées pour gérer et atténuer ces risques ». |
Clients (personnes physiques/personnes morales) |
|
|
Pays |
|
|
Canaux de distribution |
|
|
Gestion patrimoniale / Banque privée
Facteurs augmentant les risques | Facteurs contribuant à diminuer le risque | |
---|---|---|
Produits, Services, Transactions |
|
|
Clients |
|
|
Pays |
|
|
Canaux de distribution |
|
|
Dans le cadre de l’activité de banque privée tout particulièrement, le professionnel se réfère à l’annexe 1 de la Circulaire CSSF n°17/650 telle que récemment modifiée par la circulaire 20/744 du 3 juillet 2020 contenant des indicateurs susceptibles de révéler un éventuel blanchiment d’une infraction primaire fiscale.
Les infractions fiscales pénales et la circulaire CSSF n°17/650, sont commentées supra à la section 3 du chapitre I.
QUE FAIRE … pour déceler un éventuel blanchiment de fraude fiscale aggravée ou d’escroquerie fiscale ?
Le professionnel prend en compte une série d’indicateurs (énumérés dans la circulaire CSSF n°17/650 et contenant également les indicateurs propres aux activités de placement collectif) qui feront le cas échéant naître le doute et l’amèneront à faire une déclaration de soupçon à la CRF, notamment quand :
– le client est une personne morale ou une construction juridique établie dans une juridiction qui n’est pas sujette au reporting AEOI/ CRS/ FATCA et cette « entité » n’a pas de réalité économique/patrimoniale
– le client personne morale a fait l’objet une multitude de changements statutaires sur une courte période
– il existe une pluralité de sociétés qui sont constituées dans un État autre que l’État du BE
– la documentation fournie par le client présente des anomalies ou le client refuse de présenter celle justifiant de sa conformité fiscale ou la documentation soulève des doutes car émise par un proche du client
– le professionnel constate une augmentation substantielle des mouvements de compte sur une courte période ou une incohérence entre le volume d’affaires et les mouvements sur les comptes bancaires
– le client recourt à un montage complexe sans justification économique ou patrimoniale ou demande une assistance dont la finalité pourrait être de contourner ses obligations fiscales
– le client transfère ses fonds d’un pays considéré par le professionnel comme risqué d’un point de vue transparence fiscale ou réside fiscalement dans un pays non assujetti au reporting AEOI/CRS/FATCA(…)
Il est à souligner que la présence d’un indicateur à lui seul ne permet pas d’en déduire l’existence d’une infraction primaire fiscale.
Banque correspondante :
Facteurs augmentant les risques | Facteurs contribuant à diminuer le risque |
|
---|---|---|
Produits, Services, Transactions |
|
|
Clients |
|
|
Pays |
|
|
Canaux de distribution |
|
|
Émission de monnaie électronique :
Pour mémoire, la monnaie électronique est définie comme une valeur monétaire représentant une créance sur l’émetteur, qui est (i) stockée sous une forme électronique, y compris magnétique, (ii) émise contre la remise de fonds aux fins d’opérations de paiement, et (iii) acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique.
Elle ne doit pas être confondue avec les monnaies virtuelles aussi appelées « crypto-devises » ou « devises virtuelles».
Facteurs augmentant le risque | Facteurs contribuant à diminuer le risque |
|
---|---|---|
Produits, Services, Transactions |
|
|
Clients |
|
|
Pays |
| |
Canaux de distribution |
|
|
Banque dépositaire
Les orientations sectorielles pour les fournisseurs de fonds d’investissement se concentrent surtout sur les gestionnaires de fonds d’investissement et les fonds d’investissement commercialisant leurs parts/actions, en vertu de l’article 3, paragraphe 2, points a) et d) de la 4ème directive anti-blanchiment. Elles sont néanmoins pertinentes pour le banquier dépositaire de fonds d’investissement :
Facteurs augmentant le risque | Facteurs contribuant à diminuer le risque | |
---|---|---|
Produits, Services, Transactions |
|
|
Clients |
|
|
Pays |
| |
Canaux de distribution |
|
|
En Bref :
Le professionnel, selon l’activité exercée/ les services proposés, doit identifier tous les risques en présence, en faire une synthèse afin de déterminer de manière globale le risque inhérent à la relation d’affaire ou à la transaction envisagée.
C’est cette appréciation du risque, suivant les critères fixés notamment dans la Loi, les règlements/circulaires de la CSSF mais aussi les orientations communes fixées par les autorités européennes de surveillance, la Commission Européenne, les recommandations du GAFI ou autres sources européennes et internationales, qui permettra au professionnel d’apprécier à discrétion le niveau de risque encouru.
Dès le niveau de risque fixé, le professionnel s’appliquera à « prendre des mesures appropriées pour gérer et atténuer ces risques » (voir article 2-2 (3) de la Loi).
L’ EVALUATION DES RISQUES LBC/FT PAR LA CSSF
Depuis 2017, la CSSF procède à une enquête sur base annuelle en collectant des informations-clés standardisées concernant les risques de blanchiment de capitaux et de financement du terrorisme auxquels les professionnels assujettis sont exposés, tout comme les mesures d’atténuation des risques entreprises par ces derniers.
La CSSF se réfère notamment à la recommandation n°1 du GAFI eu égard à l’approche pays fondée sur les risques, tout comme à la 4ème directive anti-blanchiment.
Les réponses apportées par les professionnels aux « questionnaires risques » de la CSSF permettent à celle-ci d’évaluer si les mesures de prévention/atténuation mises en place par le professionnel sont appropriées aux risques auxquels le professionnel est effectivement confronté. La CSSF rend compte à chaque établissement des résultats de cette analyse.
RISQUES ET MESURES DE VIGILANCE
Les mesures de vigilance seront exposées infra dans le chapitre 2 « les obligations à l’égard de la clientèle ». Cependant, il est d’ores et déjà utile de citer brièvement les trois niveaux de risque de blanchiment repris dans la Loi :
1) Risque « faible » (risque de blanchiment moins élevé) : l’article 3-1 de la Loi décrit, de manière non exhaustive, les conditions dans lesquelles des mesures de vigilance simplifiées sont suffisantes. L’application de mesures de vigilance simplifiées doit être basée sur une évaluation des risques attestant de la faiblesse du risque.
2) Risque « réel » (obligation de vigilance telle qu’édictée à l’article 3 de la Loi)
En dehors des situations à risque élevé définies par les autorités, il appartient à chaque professionnel de définir sa propre politique en matière de gestion des risques, en fonction de son type de relations d’affaires, de sa clientèle, des services et produits qu’il propose et des pays avec lesquels il traite.
Cette approche devrait considérer aussi bien les éléments qui accroissent les risques que ceux qui les réduisent.
La classification des clients dans une catégorie de clients à risque ne relève pas nécessairement d’un critère unique, mais peut résulter d’un faisceau de facteurs de risque. L’accumulation de facteurs de risque devrait conduire le professionnel à rechercher plus en détail les raisons de la relation d’affaires, à se procurer une documentation additionnelle, à examiner attentivement les opérations effectuées, à prendre des mesures de suivi et de revue périodique.
3) Risque « élevé » (mesures de vigilance renforcées) : l’article 3-2 de la Loi détermine des situations dans lesquelles les professionnels doivent appliquer des mesures de vigilance renforcées à l’égard de la clientèle.
A ces niveaux de vigilance peut être ajoutée l’interdiction absolue de tout contact concernant les personnes ou entités sous embargo (mesures de gel des fonds ou autres avoirs terroristes – voir notamment la liste consolidée des sanctions de l’Union européenne).
L’annexe IV fournit quelques références et outils complémentaires sur l’approche basée sur les risques.
LES OBLIGATIONS A L’EGARD DE LA CLIENTÈLE
« Il devrait être interdit aux institutions financières de tenir des comptes anonymes et des comptes sous des noms manifestement fictifs ». Ainsi, le professionnel est obligé de prendre des mesures de vigilance à l’égard de la clientèle dans certaines situations clairement définies, notamment :
(i) l’établissement de relations d’affaires
(ii) l’exécution « d’opérations occasionnelles » (sous conditions)
(iii) la suspicion de blanchiment ou de financement du terrorisme
(iv) un doute sur « la véracité ou de la pertinence des données d’identification du client précédemment obtenues ».
Le professionnel identifie et vérifie en particulier l’identité de son client, celle du bénéficiaire effectif en ce inclus des personnes morales et des constructions juridiques, obtient des informations sur l’objet et la nature envisagée de la relation d’affaires et exerce une vigilance constante à l’égard de cette relation.
L’opération d’identification consiste à disposer du nom et de l’identité du client. L’identification peut ainsi se faire par le fait de compléter un formulaire de demande d’entrée en relation d’affaires et d’y indiquer le numéro d’un document d’identité.
L’opération de vérification quant à elle consiste à faire le lien avec la réalité en s’assurant que cette identité se rapporte effectivement à la personne avec laquelle on traite, que cette personne existe réellement et que les documents, données et informations sont respectivement fiables et probants.
EN QUOI CONSISTE L’OBLIGATION DE VIGILANCE ?
« Les mesures de vigilance à appliquer à l’égard de la clientèle doivent comprendre les mesures suivantes :
- L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations de source fiable et indépendante y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées;
- L’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, à l’aide des informations ou données pertinentes obtenues d’une source fiable et indépendante, de telle manière que le professionnel ait l’assurance de connaître ledit bénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client (…) ;
- L’évaluation et la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires ;
- L’exercice d’une vigilance constante quant à la relation d’affaires, notamment en examinant les transactions conclues pendant toute cette relation d’affaires et, si nécessaire, sur l’origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu’a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en s’assurant que les documents, données ou informations obtenus dans l’exercice du devoir de vigilance à l’égard de la clientèle restent à jour et pertinents. A cette fin, les professionnels examinent les éléments existants, et ceci en particulier pour les catégories de clients présentant des risques plus élevés ».
Section 1. Mesures de vigilance à l’égard de la clientèle
QUAND EXERCER LA VIGILANCE ?
« Les professionnels sont obligés d’appliquer des mesures de vigilance à l’égard de leur clientèle dans les cas suivants :
a) Lorsqu’ils nouent une relation d’affaires
b) Lorsqu’ils exécutent, à titre occasionnel, une transaction :
- d’un montant égal ou supérieur à 15.000 euros, que cette transaction soit exécutée en une seule ou en plusieurs opérations qui semblent être liées ; ou
- constituant un transfert de fonds au sens de l’article 3, point 9) du règlement (UE) 2015/847 (…) supérieur à 1.000 euros.
« Le seuil de 1.000 euros (…) est également applicable aux opérations occasionnelles effectuées par les prestataires de services d’actifs virtuels ».
Il n’existe pas de définition de « transaction conclue à titre occasionnel » ou de « client occasionnel » en droit luxembourgeois.
QUE FAIRE ?
L’ABBL préconise de se référer aux définitions suivantes :
« Le client occasionnel est le client de passage qui sollicite l’intervention d’un organisme financier pour la réalisation d’une opération isolée ou de plusieurs opérations présentant un lien entre elles (…) ».
« (…) lorsqu’une personne remet à un organisme financier des espèces pour les verser sur le compte d’un des clients de ce dernier et qu’elle n’a pas été mandatée par ce client pour agir sur son compte, elle est alors considérée comme un client occasionnel. L’organisme identifie et vérifie son identité, sauf s’il est par ailleurs d’ores et déjà en relation d’affaires avec cette personne ».
« (…) est considérée comme un client occasionnel toute personne qui s’adresse à (un professionnel assujetti) dans le but exclusif de préparer ou de réaliser une opération ponctuelle ou d’être assistée dans la préparation ou la réalisation d’une telle opération, que celle-ci soit réalisée en une seule opération ou en plusieurs opérations apparaissant comme liées entre elles ».
Le professionnel effectue les mesures de vigilance qui s’imposent à l’égard du « client occasionnel » ou du client exécutant une transaction à titre occasionnel selon le(s) risque(s) identifiés.
(…)
c) Lorsqu’il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables
d) Lorsqu’il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l’identification d’un client ».
Les professionnels sont tenus d’appliquer les procédures de vigilance à l’égard de leur clientèle non seulement à tous leurs nouveaux clients mais aussi, « aux moments opportuns », à la clientèle existante en fonction de leur appréciation des risques, en tenant compte de l’existence des procédures de vigilance relatives à la clientèle antérieures et du moment où elles ont été mises en œuvre, ou lorsque les éléments pertinents de la situation d’un client changent ou lorsque le professionnel, au cours de l’année civile considérée, est tenu, en raison d’une obligation légale, de contacter le client afin de réexaminer toute information pertinente en rapport avec le ou les bénéficiaires effectifs ou si cette obligation a incombé au professionnel en application de la loi modifiée du 18 décembre 2015 relative à la Norme commune de déclaration (NCD) ».
La définition de « moments opportuns en fonction de l’appréciation des risques » est donnée dans le Règlement grand-ducal du 1er février 2010 tel que modifié.
« Il s’agit notamment d’une des situations suivantes :
« – une transaction significative intervient ;
-les normes relatives aux documents d’identification des clients changent substantiellement ;
-en matière d’activité bancaire, un changement important se produit dans la façon dont le compte d’un client fonctionne ;
-le professionnel s’aperçoit qu’il ne dispose pas d’informations adéquates sur un client.
Les professionnels doivent être en mesure de prouver aux autorités de contrôle ou aux organismes d’autorégulation que l’étendue et la fréquence des mesures de vigilance à l’égard de la clientèle sont appropriées au vu des risques de blanchiment et de financement du terrorisme ».
Sous-section 1. Processus d’acceptation
1. Politique d’acceptation du nouveau client
La notion d’entrée en contact avec un client vise toutes formes possibles de contact, y compris les entretiens qui ont lieu dans les locaux de la banque, les entrées en contact par voie postale, par entretien téléphonique ou par voie électronique (Internet par exemple).
Les simples demandes de renseignement, sans suite donnée par le prospect, ne sont pas à considérer comme une entrée en contact.
En revanche, la phase précontractuelle, qui débute par un échange d’informations et qui se définit par un début de négociation sur les conditions d’une entrée en relation, est à définir comme « entrée en contact ».
1.1 Mise en œuvre de procédures appropriées
« Les professionnels arrêtent et mettent en œuvre une politique d’acceptation des clients appropriée aux activités qu’ils exercent, permettant de soumettre l’entrée en relation d’affaires avec les clients à une identification, une évaluation et une compréhension préalable des risques (…) ».
La procédure d’acceptation des clients vient concrètement matérialiser l’analyse des facteurs de risques effectuée au préalable par le professionnel puisque les risques ayant trait à la relation d’affaires ou à la transaction aboutiront (ou non) à la conclusion de la relation d’affaire/transaction envisagée.
1.2 Caractère préalable de l’identification et de la vérification de l’identité
Le professionnel formalise la procédure d’identification des prospects/clients (personnes physiques/morales) dans ses documents « KYC » / « Know your customer ».
L’identification du client/BE ne représente qu’une partie du « KYC » qui contient de nombreuses informations complémentaires, cruciales pour évaluer les risques en présence et donner suite, le cas échéant, à l’entrée en relation d’affaires.
« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires. Lorsqu’ils nouent une nouvelle relation d’affaires avec une société ou une autre entité juridique, une fiducie, un trust ou une construction juridique présentant une structure ou des fonctions similaires à celles d’un trust pour lesquels des informations sur les bénéficiaires effectifs doivent être enregistrées en vertu de l’article 30 ou 31 de la directive (UE) 2015/849, les professionnels recueillent la preuve de l’enregistrement ou un extrait du registre ».
« La vérification de l’identité du client et du bénéficiaire effectif doit avoir lieu avant l’établissement d’une relation d’affaires ou l’exécution de la transaction ».
« Toutefois la vérification de l’identité du client et du bénéficiaire effectif peut avoir lieu durant l’établissement d’une relation d’affaires s’il est nécessaire de ne pas interrompre l’exercice normal des activités et lorsqu’il y a un faible risque de blanchiment ou de financement du terrorisme. Dans de telles situations, ces mesures sont prises le plus tôt possible après le premier contact et les professionnels prennent des mesures pour gérer efficacement le risque de blanchiment et de financement du terrorisme ».
« (…) les professionnels peuvent entreprendre une relation d’affaires, ouvrir un compte client ou effectuer une transaction pour un client occasionnel avant ou pendant que l’identité du client et du bénéficiaire effectif est vérifiée (…) pour autant que les conditions suivantes soient réunies:
- le risque de blanchiment et de financement du terrorisme est faible et efficacement géré ;
- il est nécessaire de ne pas interrompre le déroulement normal des affaires ;
- la vérification de l’identité est effectuée dans les plus brefs délais après le premier contact avec le client. L’impossibilité de vérifier l’identité du client et du bénéficiaire effectif dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôleaux fins requises
- des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification
(…)»
« Il pourrait être permis d’achever les obligations de vérification après l’établissement de la relation d’affaires, parce qu’il est essentiel de ne pas interrompre le déroulement normal des affaires », par ex. pour:
- « des opérations n’impliquant pas la présence physique des parties
- des opérations sur des valeurs mobilières. Dans le secteur des valeurs mobilières, les sociétés et intermédiaires peuvent être dans l’obligation d’exécuter des opérations très rapidement, aux conditions du marché valables au moment où le client les contacte, et la réalisation de l’opération peut être nécessaire avant que la vérification de l’identité ne soit terminée ».
Selon le GAFI, la vérification de l’identité d’un client personne physique pourrait être effectuée durant la relation d’affaires seulement si celui-ci présente un faible risque de blanchiment et que le professionnel estime que le service/la transaction requis(e) correspond à son profil d’investissement/ de risque en accord avec les renseignements préalablement fournis.
La logique reste la même en présence d’une société en formation dans le cadre d’une ouverture de compte.
1.3 Le Comité d’acceptation ou « autorisation écrite d’un supérieur ou organe spécifiquement habilité »
« (…) L’acceptation d’un nouveau client doit être soumise pour autorisation écrite à un supérieur ou à un organe du professionnel spécifiquement habilité à cet effet en prévoyant un niveau hiérarchique de décision adéquat ainsi que, le cas échéant, pour les clients présentant un niveau de risque plus élevé, au moins l’intervention systématique du responsable du contrôle».
« L’acceptation d’un nouveau client présentant un faible risque en matière de BC/FT, suivant l’approche fondée sur les risques telle que mise en place par le professionnel, peut être effectuée sur base d’un processus d’acceptation automatisé n’impliquant pas l’intervention d’une personne physique du côté du professionnel, de manière à constituer une alternative efficace et fiable à la validation par une personne physique du professionnel.
Ce processus doit avoir été configuré et testé préalablement et revu régulièrement par le professionnel de manière à analyser la robustesse de celui-ci. Ce processus doit être en ligne avec les politiques et procédures LBC/FT du professionnel et des instructions à émettre par la CSSF ».
Conformément à une pratique courante, l’examen par le biais d’un comité dit d’entrée en relation (ou « comité d’acceptation ») est recommandé particulièrement dans certains cas nécessitant l’autorisation d’un dirigeant, mais aussi selon la nature des relations ou des personnes concernées. Le comité d’entrée en relation n’est pas nécessairement saisi pour toutes les ouvertures de compte, mais au moins pour celles répondant à certains critères, notamment en fonction du risque. La détermination du niveau de risque devrait notamment prendre en compte les facteurs de risques repris supra, partie II, chapitre premier (« identification et évaluation des risques ») du Vade-Mecum.
Il est recommandé que la responsabilité de l’entrée en relation ne repose pas sur une seule personne, et que le comité d’entrée en relation soit composé de personnes provenant de différents services du professionnel (par exemple direction générale, direction commerciale, service juridique, Compliance officer, etc.).
Concernant les clients à risque, les exigences en matière de documents probants, notamment quant à l’origine des fonds, sont plus élevées. La quantité et la qualité des informations (pièces justificatives) requises sur le client ainsi que sur le BE sont également d’un niveau élevé.
Pour les clients qui présentent un faible risque en matière de blanchiment, le règlement CSSF N°20-05 du 14 août 2020 introduit la possibilité de recourir à un système d’acceptation automatisé ne requérant pas l’intervention humaine. Ceci vient formaliser une pratique de place, à tout le moins encourager le dispositif lorsque le risque de blanchiment est faible et compte tenu de la digitalisation accrue des services.
1.4 Questionnaire d’entrée en relation d’affaires
« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires ».
« La politique d’acceptation des clients doit également prévoir les procédures à suivre lors d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’une infraction sous-jacente associée ou de financement du terrorisme en cas de non-aboutissement d’une entrée en contact avec un client potentiel. Les raisons d’un refus de la part du client ou du professionnel de nouer une relation d’affaires ou d’effectuer une transaction doivent être documentées et conservées (selon les modalités du règlement CSSF n°12-02) et ce, même si le refus de la part du professionnel ne découle pas de la constatation d’un indice de blanchiment ou de financement du terrorisme ».
2. Identification des clients et vérification de leur identité
L’identification du client et la vérification de son identité s’effectuent sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) » ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».
2.1 Le client « personne physique »
2.1.1 Le titulaire
« Aux fins de l’identification des clients conformément à l’article 3 paragraphe 2, alinéa 1, point a) et alinéa 2 de la Loi, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes:
En ce qui concerne les clients qui sont des personnes physiques:
- nom(s) et prénom(s);
- lieu et date de naissance ;
- nationalité(s);
- adresse postale complète de la résidence principale du client ;
- le cas échéant, le numéro d’identification national officiel ».
« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».
Vérification de l’identité du client personne physique
(1) « La vérification de l’identité, au sens de l’article 3 paragraphe 2, alinéa 1, point a) de la Loi, des clients qui sont des personnes physiques doit se faire au minimum au moyen d’un document d’identification authentique officiel en cours de validité, émanant d’une autorité publique et muni de la signature et d’une photo du client, tel que (…) le passeport du client, sa carte d’identité, (…) sa carte de séjour, son permis de conduire ou tout autre document similaire ».
« Des moyens d’identification électronique, en ce compris les services de confiance pertinents prévus par le Règlement (UE) n° 910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées peuvent être utilisés par le professionnel pour remplir son obligation de vigilance visée à l’article 3 paragraphe 2, alinéa 1, point a) de la Loi ».
(2) « En fonction de leur évaluation des risques, et sans préjudice d’autres obligations renforcées de vigilance, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple, la vérification de l’adresse indiquée par le client au moyen d’un justificatif du domicile ou une prise de contact avec le client, notamment par courrier recommandé avec accusé de réception ».
Voyez les tableaux de l’annexe « documents » relative aux obligations de vigilance à l’égard du client personne physique
La pratique en matière d’exigences documentaires peut varier d’un établissement à l’autre et peut parfois être plus restrictive que le requis réglementaire. Le cadre législatif et réglementaire luxembourgeois laisse le cas échéant une certaine discrétion au professionnel quant au choix de la documentation qui sert à identifier le client personne physique.
Ainsi, le professionnel pourra utilement se référer aux recommandations/bonnes pratiques en matière d’identification de la clientèle publiées par des associations professionnelles (par ex. l’ALCO, l’IRE) ou encore par les autorités de surveillance du secteur bancaire/financier ou autres (AED).
Situation exceptionnelle :
Il se peut également que les clients soient munis de pièces documentaires spécifiques (par ex. carte de forain, carte de séjour, livret de famille, etc.) dont la pertinence est laissée à l’appréciation du professionnel, mais qui, à eux seuls, ne fournissent pas une identification complète. Il convient, dans ce type de situation, et comme indiqué supra, d’arriver à
obtenir d’autres documents de source fiable et indépendante qui viendront compléter les pièces à caractère spécifiques fournies par le client.
Au cas où un document d’identification officiel étranger ne comporte pas de signature, le professionnel requiert un document justificatif supplémentaire. Un lien clair doit être établi entre l’identité du client et sa signature. Le justificatif supplémentaire, dans ce cas de figure ou dans une situation exceptionnelle, contient les informations confirmatives en matière d’identification du client.
Quelques exemples d’exigences documentaires complémentaires éventuelles relatifs aux clients personnes physiques:
– Titre de propriété de la résidence principale, quittance de loyer de moins de trois mois, attestation d’assurance logement, documents d’imposition taxe d’habitation, taxe foncière, taxes communales, document officiel attestant de subventions étatiques
– Certificat de nationalité, décret de naturalisation, carte de combattant, carte de circulation délivrée par les autorités militaires, carte d’invalidité
– Factures internet/téléphonie mobile de moins de trois mois (sur support papier ou dématérialisées)
– Dernier avis d’imposition/non-imposition, bulletins de salaires renseignant la résidence principale, titre de pension renseignant l’adresse principale, allocation officielle de crédit d’impôt, allocations étatiques diverses (familiales, invalidité…)
– Convocation administrative, mise en demeure, signification par voie d’huissier,
Le permis de conduire pourrait aussi constituer un document officiel d’attestation de l’identité du client ou venir complémenter d’autres documents du dossier client, notamment pour les clients résidant dans des État tiers.
Quelques exemples de situation :
- Afin de se ménager des preuves, il est de pratique courante de prendre copie des pièces d’identité de manière systématique.
- Le professionnel portera une attention particulière à des situations inhabituelles telles que l’absence ou la nature temporaire du lieu de résidence d’un client (par exemple une suite dans un hôtel, une boîte postale). Le professionnel veillera à la concordance entre toutes les informations qu’il aura reçues quant aux éléments d’identification. En cas de contradiction (par exemple quant à l’adresse) ou d’information insuffisante, il doit exiger des justificatifs supplémentaires.
Une entrée en relation d’affaires ne sera acceptée par le professionnel que si ce dernier dispose de tous les documents qu’il a demandé à son client.
2.1.2 Le mandataire/fondé de procuration du client personne physique incapable/mineur
Les pouvoirs de représentation des représentants légaux des clients qui sont des personnes physiques incapables, c.-à-d. qui font l’objet de mesures de tutelle/curatelle (ou analogues), ou mineures, doivent être vérifiés au moyen de documents susceptibles de faire preuve.
L’identification et la vérification de l’identité du mandataire du client doit par ailleurs être réalisée comme décrit au point 2.1.1. Le professionnel prendra copie des documents recueillis.
Le livret de famille est parfois utilisé dans l’hypothèse de l’ouverture d’un compte au nom d’un mineur par une personne majeure. Dans ce cas, il convient de vérifier l’identité de cette dernière et de renseigner le lien entre celle-ci et le mineur.
Il est recommandé de se procurer une copie de la pièce d’identité du mineur dès lors qu’il en possède une, et au plus tard au moment de sa majorité. Il se recommande d’une manière générale de demander au client que celui-ci informe le professionnel de tout changement intervenu dans son statut juridique.
2.1.3 Le cas particulier du statut de réfugié ou DPI (Demande de Protection Internationale)
Même si l’attestation de dépôt de demande de protection internationale ne constitue qu’un élément partiel de vérification de l’identité du client au sens de la Loi, on relève qu’elle comporte le cachet du Ministère des Affaires Étrangères, ainsi que la signature d’un officiel de ce ministère, en plus de la photographie d’identité du demandeur en protection, de sa signature et des indications d’identité telles que requises par l’article 16 du Règlement CSSF n°12-02.
Cette attestation pourrait, sous réserve d’être valable, être considérée comme acceptable à des fins d’ouverture d’un compte bancaire au Luxembourg offrant des services financiers de base, à condition que les risques en résultant soient mitigés par les conditions d’utilisation de ce compte et l’application de mesures de vigilance renforcées dans les cas d’espèce.
Les banques devraient également suivre le comportement du demandeur d’asile par rapport à la nature, le montant, l’origine/la destination de la transaction concernée, etc. aux fins de pouvoir repérer les transactions potentiellement suspectes et intervenir de manière adéquate, le cas échéant, conformément à l’article 5 (1) a) de la Loi.
Les banques devraient régulièrement réviser le profil de risque du demandeur d’asile en question aux fins de vérifier que ce profil reste adapté, notamment après quelques mois, afin de vérifier une évolution dans le statut de la personne.
Les banques devraient également rejeter une demande d’ouverture de compte bancaire assorti de prestations de base lorsque l’ouverture d’un tel compte entraînerait une violation des dispositions applicables en matière de prévention du blanchiment et de lutte contre le financement du terrorisme.
Il est suggéré que toute demande d’ouverture de compte pour un DPI ou que toute vérification d’identité dans le cadre d’une transaction bancaire s’effectue sur base d’un document qui réponde aux caractéristiques suivantes:
1 – Mentions des principales informations d’identité requises par l’article 16 du Règlement CSSF n°12-02 (sachant que l’adresse n’est pas impérative), ET
2 – Présence d’une photographie d’identité du demandeur en protection, ET
3 – Présence sur le document d’un cachet du Ministère des Affaires Étrangères ou de l’OLAI, OU
4 – Présence sur le document d’une signature d’un représentant du Ministère des Affaires Étrangères ou de l’OLAI.
Toute documentation ne présentant pas l’ensemble des caractéristiques reprises ci-dessus est acceptée par le professionnel à ses propres risques, étant entendu qu’une exception peut être faite concernant les attestations de dépôt de demande de protection internationale portant un cachet ou la mention « débouté » ou « annulé », mais uniquement dans le respect des conditions suivantes :
– l’acceptation d’une telle attestation (mentionnant le cachet ou la mention « débouté » ou « annulé ») ne peut être admise que pour l’identification du DPI dans le cadre de transactions effectuées sur ou à partir d’un compte (et non pour l’ouverture de ce dernier)
– tant que le compte du DPI enregistre des crédits de sommes provenant du Ministère des Affaires Étrangères et/ou de l’OLAI.
L’absence de versements provenant de ces autorités peut signifier un rejet de la demande et justifier de recherches / vérifications complémentaires de la part de l’établissement concerné.
2.1.4 La Validité de la carte d’identité française périmée depuis moins de 5 ans
D’après la réglementation française, depuis le 1er janvier 2014, la durée de validité de la carte nationale d’identité est passée de 10 à 15 ans pour les personnes majeures (plus de 18 ans). L’allongement de cinq ans pour les cartes d’identité concerne :
- Les nouvelles cartes d’identité sécurisées (cartes plastifiées) délivrées à partir du 1er janvier 2014 à des personnes majeures ;
- Les cartes d’identité sécurisées délivrées (cartes plastifiées) entre le 2 janvier 2004 et le 31 décembre 2013 à des personnes majeures.
Si la carte d’identité a été délivrée entre le 2 janvier 2004 et le 31 décembre 2013, la prolongation de 5 ans de validité de la carte est automatique. La date de validité inscrite sur le titre ne sera pas modifiée. Pour les cartes en apparence périmées mais dont la validité est prolongée de 5 ans, le Luxembourg a officiellement confirmé qu’il l’accepte comme document de voyage.
Le ressortissant français pourrait valablement utiliser la carte d’identité française susmentionnée, en apparence périmée mais dont la validité court encore suite à sa prolongation pour 5 ans après une période initiale d’émission/validité de 10 ans, dans le cadre de l’ouverture d’une relation d’affaire avec un établissement de crédit.
Le professionnel détermine à discrétion, conformément à l’approche fondée sur les risques, l’acceptation d’une carte d’identité française périmée et le cas échéant, demande d’autres pièces documentaires eu égard à l’identification de son client.
2.1.5 Moyens d’identification électroniques de vérification de l’identité
A. Les mesures de vigilance à l’égard de la clientèle comprennent :
« L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations obtenus de sources fiables et indépendantes, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».
Le professionnel peut recourir à la vidéo conférence en utilisant un logiciel développé par lui-même, sinon par un fournisseur externe ou encore déléguer cette fonction « d’on-boarding » vidéo à une partie tierce. Seule une personne physique formée à cet effet peut utiliser le système de vidéo conférence et agir directement avec le prospect, excluant de fait l’interposition unique d’un robot sans garanties supplémentaires.
Seules des personnes physiques (le client, le représentant légal du client, le mandataire, le co-titulaire du compte ou le BE) peuvent utiliser la fonctionnalité et être identifiées par le professionnel.
L’utilisation de l’outil de vidéo-conférence n’est possible que si le professionnel n’a aucun soupçon de blanchiment/financement du terrorisme et que la véracité et la pertinence des documents préalablement soumis par le client ne peut être contestée.
Pendant l’identification du client, les données figurant sur les documents d’identité doivent être clairement lisibles et clairement identifiables (bonnes conditions de luminosité, le client ne doit pas être déguisé ni porter de couvre-chef couvrant une partie de son visage etc…). Seuls les documents d’identité officiels du pays émetteur qui contiennent des dispositifs de sécurité optiques (hologrammes, éléments d’impression spécifiques) sont autorisés pour la procédure de vérification. L’annexe V du Vademecum contient un lien très pratique au registre public en ligne de documents authentiques d’identité et de voyage pour les citoyens du monde entier, tel qu’établi par le Conseil de l’Union européenne.
Le professionnel doit garantir l’efficacité et la fiabilité du système et reste toujours responsable des obligations de vigilance à l’égard de la clientèle qui lui incombent.
Que faire ?
Les professionnels qui souhaitent utiliser des installations/systèmes vidéo à des fins d’accueil de clients à distance doivent prendre contact avec la CSSF pour décrire les systèmes qu’ils ont l’intention d’exploiter. La CSSF pourra formuler des remarques utiles, dont il faudra tenir compte avant d’utiliser le système.
L’avis du comité mixte explore notamment comment les solutions innovantes actuellement utilisées par les professionnels du secteur financier peuvent les aider à mieux remplir leurs obligations en matière de LBC/FT. Par exemple, les solutions impliquant une vérification à distance des clients peuvent contenir des fonctionnalités particulières permettant de définir si la pièce d’identité présentée appartient effectivement à la personne qui la présente, en combinant plusieurs paramètres, notamment la reconnaissance faciale biométrique, les fonctions de sécurité du document et la reconnaissance des caractères optiques.
Ces innovations peuvent également améliorer considérablement les processus de surveillance des transactions des établissements de crédit et des institutions financières en les automatisant et en permettant d’extraire de manière instantanée des données pertinentes de plusieurs banques de données.
Au niveau national, concernant l’interopérabilité / l’usage transfrontalier des services de confiance fournis par les « prestataires de services de confiance » tels que définis dans le règlement n°910/2014 et consistant notamment en la création, la vérification et la validation de signatures électroniques, de cachets électroniques (…), de services d’envoi recommandé électronique et de certificats relatifs à ces services, le portail luxembourgeois « qualité.lu » de l’ILNAS (organe de contrôle national) énonce la liste de confiance luxembourgeoise desdits prestataires (c.-à-d. en pratique LuxTrust).
Au niveau européen, la Commission européenne publie elle aussi une liste des prestataires de services de confiance.
L’identité du client doit être vérifiée par le professionnel par le biais d’une communication audiovisuelle en temps réel en s’assurant d’employer des supports techniques appropriés. Le professionnel veillera à contrôler l’authenticité des documents d’identification du client, notamment au moyen de la lecture et du déchiffrage des dispositifs de sécurité optiques des documents fournis par le client ainsi que d’autres éléments choisis par le professionnel.
Il ressort du Règlement européen n°910/2014 depuis le 1er Juillet 2016 que :
« 1- L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.
2 – L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.
3 – Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres ».
Par ailleurs, la valeur légale de la signature électronique est reprise dans le Code civil :
« La signature nécessaire à la perfection d’un acte sous seing privé identifie celui qui l’appose et manifeste son adhésion au contenu de l’acte. Elle peut être manuscrite ou électronique».
B.Mesures spécifiques à adopter par le professionnel dans le cas d’une entrée en relation d’affaires à distance « Non face to face »
« Lorsque le client n’est pas physiquement présent ou n’a pas été rencontré par ou pour le compte du professionnel aux fins de l’identification, relation dite « Non face-to-face », et que le professionnel n’a pas pris les garanties nécessaires telles qu’indiquées à l’Annexe IV, point 2) c) de la Loi (c’est-à-dire non assorties des garanties telles que des moyens d’identification électroniques au sens du règlement (UE) n°910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées) des mesures spécifiques doivent être appliquées par le professionnel pour compenser le risque potentiellement plus élevé que présente ce type de relation ».
Les mesures spécifiques à prendre dans ce cas de figure peuvent notamment être :
- « des mesures garantissant que l’identité du client est établie au moyen de documents, données ou informations d’identification supplémentaires
- des mesures complémentaires assurant la vérification ou la certification par une autorité publique des documents fournis
- une attestation de confirmation de la part d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme
- des mesures garantissant que le premier paiement des opérations est effectué au moyen d’un compte ouvert au nom du client auprès d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme».
Cette liste de mesures supplémentaires à adopter en cas d’entrée en relation d’affaires à distance et en l’absence de garanties nécessaires telles que visées notamment dans le règlement (UE) n°910/2014 a été introduite par le règlement CSSF n°20-05 et n’est pas exhaustive. Libre au professionnel d’adopter d’autres mesures qu’il jugerait utile.
2.1.6 Orientations du GAFI sur l’identité numérique
L’identification numérique fait simplement référence à l’utilisation de la technologie pour affirmer et prouver l’identité.
La section III du guide est la plus pertinente en ce qui concerne les normes de vigilance à l’égard de la clientèle. Dans l’ensemble, le guide devrait aider les professionnels à comprendre si un identifiant numérique est adapté à des fins de vigilance à l’égard de la clientèle, après avoir d’abord compris les attributs des systèmes d’identification numérique.
A. Résumer brièvement le processus d’identification numérique (annexe A de la ligne directrice du GAFI)
Comme indiqué ci-dessus, le processus d’identification numérique se compose principalement de deux éléments :
(i) La preuve d’identité et l’enrôlement
La première étape consiste à répondre à la question simple « qui êtes-vous », avec la collecte de preuves d’attributs liés au fait que le client est ici un individu (documentaire ou numérique, sachant qu’il existe des biométries biophysiques, biomécaniques et comportementales).
Viendra ensuite la validation pour s’assurer de l’authenticité des preuves recueillies, puis le processus de vérification par lequel il y aura une confirmation que l’identité validée correspond bien au client en cours de processus.
(ii) L’authentification et la gestion du cycle de vie de l’identité
Cette partie du processus d’identification pourrait être brièvement résumée comme suit : » Êtes-vous celui que vous prétendez être ? « .
Comme l’indique le GAFI, « plus un processus d’authentification utilise de facteurs, plus le système d’authentification est susceptible d’être robuste et digne de confiance ». Une fois que le client a été prouvé et inscrit avec succès dans un système d’identification numérique, le processus d’authentification garantit au professionnel que la personne qui présente le justificatif est bien celle à qui il appartient.
Les facteurs d’authentification courants peuvent être résumés comme suit :
La gestion du cycle de vie désigne simplement les actions que les professionnels devront entreprendre en réponse aux événements qui surviennent aux titres d’identité (perte, vol, etc.).
B. S’assurer que le système d’identification numérique est adapté aux besoins de diligence raisonnable des clients :
En dehors de la guidance de la CSSF sur le chat vidéo et du fait que la CSSF sera éventuellement consultée sur tout système d’identification numérique utilisé ou mis en œuvre par un professionnel, il n’existe pas de guidance spécifique au Luxembourg sur l’adéquation d’un système d’identification numérique qui sera utilisé pour l’accueil des clients.
Par conséquent, l’illustration du GAFI ci-dessous, combinée à une approche basée sur le risque, sera utile aux professionnels pour choisir le bon système et s’assurer qu’il est accompagné du bon niveau d’assurance :
QUE FAIRE?
- Utiliser des systèmes/processus de lutte contre la fraude et de cybersécurité pour soutenir la preuve numérique d’identité et/ou l’authentification afin de soutenir la quête de LAB/CFT.
- Assurez-vous que la CSSF peut obtenir les informations sous-jacentes et les preuves d’identité ou les informations numériques nécessaires pour identifier et vérifier l’identité de votre client/prospect.
2.2 Le client « personne morale »
2.2.1 L’identification du client personne morale
« Aux fins de l’identification des clients personnes morales, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes :
-
- dénomination;
- forme juridique;
- adresse du siège social, ainsi que, si elle est différente, celle de l’un du principal lieu d’activité
- le cas échéant, un numéro d’identification national officiel;
- le nom des dirigeants (pour les personnes morales) et administrateurs ou personnes exerçant des positions similaires (pour les constructions juridiques) et intervenant dans le cadre de la relation d’affaires avec le professionnel;
- dispositions régissant le pouvoir d’engager la personne morale ou la construction juridique;
- autorisation d’entrer en relation ».
« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».
Ouverture d’un compte pour une société en voie de formation avant l’achèvement des mesures de vérification de l’identité
Le professionnel peut ouvrir un compte pour une société en voie de formation pour autant que les conditions suivantes soient réunies :
« – les professionnels identifient et vérifient l’identité des fondateurs de la société conformément à la Loi. Ils obtiennent de la part des fondateurs une déclaration qu’ils agissent, soit pour leur propre compte, soit pour des bénéficiaires effectifs qu’ils nomment, et, le cas échéant, les professionnels prennent les mesures d’identification et de vérification de l’identité à l’égard de ces derniers conformément à la Loi
– dans les plus brefs délais après la constitution de la société, les professionnels complètent les mesures d’identification et de vérification de l’identité à l’égard de la société (…) ainsi que, le cas échéant, à l’égard de ses bénéficiaires effectifs (…). L’impossibilité de vérifier l’identité des fondateurs, de la société et des bénéficiaires effectifs dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôle de la LBC/FT aux fins requises
– des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification ».
Le professionnel peut voir sa responsabilité engagée s’il permet à son client personne morale de disposer des fonds avant que l’identification de celui-ci ne soit achevée.
Il se recommande de surseoir à la mise en fonctionnement du compte, à tout le moins jusqu’à réception des pièces ou informations requises, pour lesdites personnes qui ne seraient pas encore identifiées de manière satisfaisante. Dans une telle hypothèse, le professionnel prend les mesures qui s’imposent, dont notamment procéder au blocage du compte afin d’interdire toute sortie de fonds.
2.2.2 Mesures d’identification et de vérification du mandataire du client personne morale
Le mandataire détient une procuration de la personne morale qui lui donne le pouvoir d’agir en son nom ; le professionnel procède à l’identification et à la vérification de l’identité dudit mandataire, tout comme pour le mandataire social (c.-à-d. une personne morale) sur la base d’une approche fondée sur les risques. L’identification et la vérification de l’identité du représentant légal du mandataire social sont aussi recherchées.
Seuls les pouvoirs de représentation de(s) la personne(s) agissant au nom du client « dans le cadre de la relation d’affaires avec le professionnel » feront l’objet d’une vérification. Les professionnels pourront ainsi ne pas avoir à identifier et à vérifier systématiquement l’identité de toutes les personnes détenant une procuration au nom du client personne morale.
Le mandataire ne doit pas être confondu avec la(les) personne(s) figurant sur une liste de signataires autorisés transmise par le client personne morale. En pratique, les professionnels reçoivent les noms de nombreux signataires autorisés (listes imprimées ou format informatique). Ces personnes ne sont ni les représentants légaux de la personne morale, ni ses bénéficiaires effectifs. Ainsi, ils ne sont pas soumis aux mêmes obligations d’identification que les mandataires du client personne morale.
Il n’est donc pas requis de vérifier l’identité des personnes figurant sur une liste de signataires, mais il est recommandé de procéder à l’enregistrement de leurs noms, notamment aux fins de « name screening ».
« Les professionnels prennent en outre connaissance des pouvoirs de représentation de(s) la personne(s) agissant au nom du client dans le cadre de la relation d’affaires avec le professionnel et procèdent à leur vérification au moyen de documents susceptibles de faire preuve dont ils prennent copie, le cas échéant sous forme électronique (digitale) ».
« Sont notamment visées (…) :
- « (…) les personnes physiques ou morales autorisées à agir pour le compte des clients en vertu d’un mandat ;
- les personnes autorisées à représenter des clients qui sont des personnes morales ou des constructions juridiques dans leurs relations avec le professionnel ».
- Pour les sociétés :
La documentation complète relative à une personne morale doit permettre de retracer la suite logique des nominations et délégations de pouvoir, en passant par les statuts et la désignation des membres de son Conseil jusqu’à la délégation de pouvoir aux personnes qui engagent la société vis-à-vis du professionnel.
A propos du recueil des informations sur l’identité des dirigeants et administrateurs des sociétés, les professionnels devront au moins identifier et vérifier l’identité des dirigeants et administrateurs (même ceux sans pouvoir de signature) en contact avec l’établissement de crédit.
Les comptes ouverts au nom d’institutions financières devraient faire l’objet de procédures adaptées sous réserve des obligations en matière de banques correspondantes.
- Pour les autres personnes morales :
Les situations exceptionnelles, telles que l’ouverture de compte au nom d’une association, d’une fondation ou d’un syndicat, devraient faire l’objet d’identification au cas par cas.
Concernant la délégation de pouvoirs, l’ABBL recommande que les professionnels vérifient les pouvoirs de la personne qui agit pour le compte du client et recueillent un document justifiant la qualité de représentant.
Par exemple :
- pour le représentant d’une société ou d’une association : des statuts de la société ou de l’association ou d’une délégation de pouvoir en bonne et due forme
- pour le représentant d’un organisme de placement collectif : du prospectus du fonds ou de documents équivalents permettant d’identifier la société de gestion
- pour le représentant légal d’une commune/collectivité territoriale : du décret de nomination(le cas échéant), de la délégation de pouvoir des personnes ».
En fonction de son analyse des risques, le professionnel pourra prévoir une réduction des mesures d’identification et de vérification du mandataire dans le cadre d’obligations de vigilance simplifiées
2.2.3 La vérification de l’identité du client personne morale
« L’identification du client et la vérification de son identité (s’effectuent) sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».
« (…) la vérification de l’identité des clients qui sont des personnes morales ou autres constructions juridiques doit se faire au minimum au moyen des documents suivants dont il est pris copie, le cas échéant sous forme électronique (digitale) :
- les derniers statuts coordonnés ou statuts à jour (ou document constitutif équivalent)
- un extrait du registre des sociétés récent et à jour (ou document probant équivalent) ».
Le professionnel peut utiliser un certificat de constitution, un certificat de conformité, un contrat de société, (…) ou tout autre document provenant d’une source indépendante et fiable indiquant le nom, la forme et l’existence du client.
« En fonction de leur évaluation des risques, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple:
- un examen du dernier rapport de gestion et des derniers comptes, le cas échéant certifiés par un réviseur d’entreprises agréé
- la vérification, après consultation du registre des sociétés ou de toute autre source de données professionnelles, que la société n’a pas fait, ou ne fait pas, l’objet d’une dissolution, d’une radiation, d’une mise en faillite ou d’une liquidation
- la vérification des informations recueillies auprès de sources indépendantes et fiables, telles que, notamment, des banques de données publiques et privées
une visite de la société, dans la mesure du possible, ou une prise de contact avec la société, notamment par courrier recommandé avec avis de réception ».
Le professionnel peut compléter les documents susmentionnés en fonction de son appréciation des risques encourus. Il a aussi, le cas échéant, la faculté d’appliquer des mesures de vigilance simplifiées vis-à-vis de son client personne morale (voy. supra partie II, chapitre 5 du Vade-Mecum).
Il est possible pour les personnes morales originaires de certains pays dans certaines circonstances de se procurer des extraits de registre de commerce par Internet (à titre d’exemple, en Suisse, en Belgique et aux Pays-Bas). Il est recommandé de s’assurer de la fiabilité de la source fournissant ces documents. Le « Luxembourg Business Registers »
G.I.E. permet de disposer de nombreux extraits de registres de commerce européens, en raison de sa participation au « European Business Register ».
Il est de pratique courante de se baser, pour l’identification d’une personne morale, sur un extrait de registre de commerce récent, c’est-à-dire qui date de préférence de moins de douze mois au moment de l’ouverture du compte.
Il est recommandé lors de l’identification de personnes morales de distinguer entre les sociétés qui ont une activité commerciale évidente (grands groupes commerciaux, sociétés cotées, PME) et les sociétés de petite dimension, notamment patrimoniales et ou susceptibles de faire écran. Le fait qu’une personne morale soit notoirement connue peut être inscrit au dossier.
Dans l’hypothèse d’ouverture de comptes multiples par une même personne morale, le professionnel peut se fier à la vérification d’identité effectuée lors de la première ouverture de compte, à moins que des éléments essentiels de l’identification soient susceptibles d’avoir évolués (changement de raison sociale) ou que le professionnel ait des doutes quant à l’exactitude des renseignements fournis. Lorsqu’une relation d’affaires a été entièrement résiliée et qu’une nouvelle relation d’affaires est nouée ultérieurement, le professionnel doit procéder à nouveau à l’identification et à la vérification d’identité du client.
Sous-section 2. Identification et vérification de l’identité des bénéficiaires effectifs
I – Définition de la notion de bénéficiaire effectif
1.1. La définition du bénéficiaire effectif (« BE »)
L’obligation d’identification des bénéficiaires effectifs recouvre l’identification :
(a) des bénéficiaires effectifs des sociétés
(b) des bénéficiaires effectifs des fiducies et des trusts
(c) des bénéficiaires effectifs des entités juridiques telles que les fondations et les constructions juridiques similaires à des fiducies ou à des trusts.
Les professionnels sont dans l’obligation de prendre des mesures raisonnables pour obtenir l’identité de la personne physique qui possède ou contrôle le client ou pour laquelle une transaction est réalisée.
« Par bénéficiaire effectif (…) est désignée toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. La notion de bénéficiaire effectif comprend au moins :
a) dans le cas des sociétés :
i) toute personne physique qui, en dernier ressort, possède ou contrôle une entité juridique, du fait qu’elle possède directement ou indirectement un pourcentage suffisant d’actions ou de droits de vote ou d’une participation au capital dans cette entité, y compris par le biais d’actions au porteur ou d’un contrôle par d’autres moyens, autre qu’une société cotée sur un marché réglementé qui est soumise à des obligations de publicité compatibles avec le droit de l’Union européenne ou à des normes internationales équivalentes qui garantissent la transparence adéquate pour les informations relatives à la propriété.
Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une personne physique, est un signe de propriété directe. Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une société, qui est contrôlée par une ou plusieurs personnes physiques, ou par plusieurs sociétés, qui sont contrôlées par la ou les mêmes personnes physiques, est un signe de propriété indirecte.
ii) si après avoir épuisé tous les moyens possibles et pour autant qu’il n’y ait pas de motif de suspicion, aucune des personnes visées au point i) n’est identifiée, ou s’il n’est pas certain que la ou les personnes identifiées soient les bénéficiaires effectifs, toute personne physique qui occupe la position de dirigeant principal;
« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :
aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires
bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;
cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;
dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »
b) dans le cas des fiducies et trusts :
i) le ou les constituants;
ii) le ou les fiduciaires ou trustees;
iii) le ou les protecteurs, le cas échéant;
iv) les bénéficiaires ou, lorsque les personnes qui seront les bénéficiaires de la construction ou de l’entité juridique n’ont pas encore été désignées, la catégorie de personnes dans l’intérêt principal de laquelle la construction ou l’entité juridique a été constituée ou opère;
v) toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie ou le trust par propriété directe ou indirecte ou par d’autres moyens;
c) pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, toute personne physique occupant des fonctions équivalentes ou similaires à celles visées au point b) ».
« l’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier l’identité de cette personne, de telle manière que l’entité assujettie ait l’assurance de savoir qui est le bénéficiaire effectif, y compris, pour les personnes morales, les fiducies/trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client »
« Le bénéficiaire effectif au sens de l’article 1 paragraphe 7 de la Loi désigne toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. Cela peut être le cas même si le seuil de participation ou de contrôle tel qu’indiqué à l’article 1 paragraphe 7 point a) i) de la Loi n’est pas atteint ».
En prévoyant la possibilité de devoir identifier en tant que BE une personne physique détenant moins de 25% des actions, le Règlement CSSF rappelle que l’approche du professionnel ne doit pas consister à se reposer simplement sur ce seuil de participation de 25% alors que ce seuil ne permet pas automatiquement et dans tous les cas d’identifier le réel BE. Il est ainsi possible qu’une personne détenant moins de 25% soit le BE si cette personne exerce autrement le pouvoir de contrôle sur la direction d’une entité juridique.
Il faut également garder à l’esprit qu’il est possible que des approches différenciées en terme d’identification des bénéficiaires effectifs puissent être adoptées par le professionnel au titre de la Loi d’une part, et les obligations à respecter par les sociétés conformément la loi du 13 janvier 2019 sur le registre des bénéficiaires effectifs des sociétés d’autre part.
1.2 La définition de « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale
Il est important de noter que des approches différenciées peuvent être adoptées en matière d’identification des bénéficiaires effectifs, selon qu’il s’agit des mesures de vigilance à l’égard de la clientèle conformément à la Loi ou d’obligations similaires en matière fiscale.
Aussi, les informations ci-dessous ne peuvent être assimilées aux obligations d’identification du BE au sens de la Loi et ne sont données qu’à titre comparatif. Par ailleurs, les termes personnes détenant le contrôle au sens de la loi du 18 décembre 2015 ne peuvent être assimilés à ceux de « contrôle » dans le cas des sociétés ou de « contrôle en dernier ressort » dans le cas des fiducies/trust au sens de la Loi.
« L’expression personnes détenant le contrôle désigne les personnes physiques qui exercent un contrôle sur une entité. Dans le cas d’un trust, cette expression désigne le ou les constituants, le ou les trustees, la ou les personnes chargées de surveiller le trustee le cas échéant, le ou les bénéficiaires ou la ou les catégories de bénéficiaires, et toute autre personne physique exerçant en dernier lieu un contrôle effectif sur le trust et, dans le cas d’une construction juridique qui n’est pas un trust, l’expression désigne les personnes dont la situation est équivalente ou analogue. L’expression personnes détenant le contrôle doit être interprétée conformément aux recommandations du GAFI ».
Le terme d’entité non financière (« ENF ») passive désigne essentiellement (1) une ENF, c’est-à-dire toute entité qui n’est pas une institution financière, (2) qui de surcroît n’est pas une ENF active. Une ENF active désigne toute ENF qui satisfait à un des huit critères pertinents énoncés par la directive (UE) 2014/107. Parmi ces critères, le plus représentatif semble devoir être celui requérant que moins de 50% du revenu brut de l’entité sous revue soit un revenu passif (dividendes, intérêts, loyers, plus-values)
Pour déterminer la résidence des « Personnes détenant le contrôle » d’une ENF passive pour les nouveaux comptes d’entités, « (…) l’institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) », étant entendu que pour les comptes d’entités préexistant, la règle est la suivante :
« Pour déterminer les personnes détenant le contrôle d’un Titulaire de compte, une institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des Procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) ». [personnes détenant le contrôle d’une ENF passive]
« Pour déterminer si une personne détenant le contrôle d’une ENF passive est une personne devant faire l’objet d’une déclaration, une Institution financière déclarante peut se fonder sur :
i) des informations recueillies et conservées en application des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) dans le cas d’un compte d’entité préexistant détenu par une ou plusieurs ENF et dont le solde ou la valeur agrégée ne dépasse pas un montant libellé en euros équivalant à 1.000.000 USD (…) ». [Déterminer la résidence d’une personne détenant le contrôle d’une ENF passive]
Dans le cadre de l’identification de la « personne détenant le contrôle » d’un titulaire de compte « ENF passive », la loi du 18 décembre 2015 concernant l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale se réfère aux procédures d’identification/ informations recueillies dans le cadre de la lutte contre le blanchiment.
Par ailleurs, le formulaire « CRS – E » énonce dans son annexe que la définition de la « Controlling Person (…) corresponds to the term « beneficial owner » described in Recommendation 10 and the Interpretative Note on Recommendation 10 of the FATF ».
Les lignes directrices de l’ABBL sur la mise en place de la norme commune de déclaration de l’OCDE énoncent aussi « Any individual identified as beneficial owner of the Entity under review under applicable anti-money laundering regulations should therefore qualify as Controlling Person of the said entity for the purpose of the CRS » [voy. Section VII: Controlling Persons of Passive NFEs].
II – Identification du/des bénéficiaire(s) effectif(s) dans différents cas de figure
2.1 Identification du BE contrôlant la société par les seuils (actions/droits de vote/capital)
Le BE du client entité juridique peut simplement contrôler celle-ci de par une participation directe de plus de 25% dans son capital :
Une action = un droit de vote simple
Detention directe du capital :
Mme A et M. B détiennent directement plus de 25% du capital de la société Z (parts sociales/actions).
Ce sont les BE de la société Z
Comme le rappelle le Règlement CSSF n°12-02, le professionnel peut identifier un BE de personne morale, même en présence d’un seuil de participation ou de contrôle inférieur à 25%, notamment dans le cadre de l’activité de banque privée. Le professionnel effectue ainsi une analyse du BE au cas par cas qui pourrait amener celui-ci à identifier et vérifier l’identité de M. Y, quand bien même celui-ci ne détient que 20% du capital de la société.
Le contrôle d’une entité juridique peut aussi résulter d’une détention indirecte (ou chaîne de détention) du capital de celle-ci :
Une action = un droit de vote simple
Détention directe et indirecte du capital :
– M. A détient directement 30% du capital d’Alpha
– Mme B détient 37% du capital d’Alpha :
27% indirectement via sa participation dans Beta
(45%x60)
10% en direct.
– Mme C détient indirectement 29,7% du capital d’Alpha :
90% C x 55% Beta x 60% Alpha = 29,7%
Dans cet exemple, le seuil des 25% est dépassé pour chaque BE.
Les modalités de calcul du contrôle détenu par le BE tiennent toujours compte de la chaîne de détention indirecte.
Le BE peut détenir indirectement des droits de vote du client :
Une action = un droit de vote simple
Détention indirecte des droits de vote :
Mme A détient plus de 25% des droits de vote de la société Alpha :
40×90% = 36%
( aucun autre associé ne dispose individuellement de plus de 25% du capital ou des droits ; il n’existe pas de pactes d’associés)
Détention par le BE d’une participation majoritaire dans une entité détenant plus de 25% de la société cliente :
Une action = un droit de vote simple
M. A ne détient pas de participation pondérée dans LuxCo de plus de 25% (75%x30% = 22,5%) mais détient une participation majoritaire de 75% dans FrenchCo qui détient plus de 25% des actions/droits de vote dans LuxCo.
M.B détient une participation directe substantielle dans LuxCo. Tous deux sont les BE du client LuxCo.
2.2 Identification du BE contrôlant la société « par d’autres moyens »
« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :
aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires
bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;
cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;
dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »
La définition de « contrôle par d’autres moyens » a été introduite dans le droit positif luxembourgeois par la loi du 25 mars 2020.
Il peut aussi être utile pour le professionnel de se référer au cadre juridique des États membres voisins pour mieux appréhender cette notion et les situations auxquelles on se réfère.
En France par ex., la personne physique exerçant le contrôle sur une société est matérialisée:
– lorsqu’elle détermine en fait, par les droits de vote dont elle dispose, les décisions dans les assemblées générales de cette société
– OU lorsqu’elle est associée ou actionnaire de cette société et dispose du pouvoir de nommer ou de révoquer la majorité́ des membres des organes d’administration, de direction ou de surveillance de cette société ».
En d’autres termes, par contrôle d’une société, il faut entendre le pouvoir de droit ou de fait d’exercer une influence décisive sur la désignation de la majorité des administrateurs ou gérants de celle-ci OU sur l’orientation de sa gestion.
EN BREF
Le droit de nommer ou de révoquer la majorité des membres de l’organe d’administration, de gestion ou de surveillance d’une entreprise OU le droit d’exercer une influence dominante /décisive sur l’entreprise en vertu d’un contrat conclu avec celle-ci ou de par ses statuts ou encore l’accord conclu avec d’autres actionnaires ou associés destiné à contrôler l’entreprise, caractérisent le « contrôle par d’autres moyens ».
Une action = un droit de vote simple
Ici, une chaîne d’actionnaires à 3 niveaux où l’on suppose que « les autres actionnaires » renvoient à des groupes d’actionnaires diffus (détention capital inférieure à 5%).
L’actionnaire A est BE de LuxCo en ce qu’il détient une part significative du capital de celle-ci qui lui permet d’exercer un « pouvoir de contrôle par d’autres moyens » sur les organes d’administration, de direction ou de surveillance ou sur son assemblée générale :
– détention indirecte de 13,26% du capital de LuxCo (51% x 51% x 51%) qui apparaît significative au regard du seuil de détention des groupes « d’autres actionnaires » qui détiennent moins de 5% du capital
– A est détenteur majoritaire de l’actionnaire 2, lui-même actionnaire majoritaire de l’actionnaire 1, actionnaire majoritaire de LuxCo.
2.2.1 Le groupe familial s’assurant le contrôle d’une société
Un partenariat (PACS) est conclu entre Mme B et M. C.
Aucune personne du groupe familial ne détient individuellement plus de 25% du capital ou des droits de vote de la société Alpha (tout comme les « autres actionnaires ou associés » qui n’ont pas conclu d’accord entre eux). Mais elles agissent « de concert », elles peuvent donc déterminer ensemble les décisions prises lors des AG dans le cadre de leurs liens familiaux.
M. A, Mme B, M. C et M.D sont les BE de la société cliente Alpha : ils disposent du contrôle de la société cliente « par d’autres moyens », car ils appartiennent à un groupe familial.
2.2.2 L’action de concert entre différentes personnes
L’action de concert peut se définir de la manière suivante :
« Sont considérées comme agissant de concert les personnes qui ont conclu un accord en vue d’acquérir, de céder ou d’exercer des droits de vote, pour mettre en œuvre une politique commune vis-à-vis de la société ou pour obtenir le contrôle de cette société ».
Aucun des « autres actionnaires ou associés » ne détient individuellement plus de 25% du capital ou des droits de vote ; ils n’ont pas conclu d’accord pour détenir plus de 47% des droits de vote.
Mesdames D et A et Messieurs B et C n’ont pas de lien de parenté. Mais s’ils agissent de concert, ils peuvent déterminer les décisions prises lors des assemblées générales. Ils sont BE de la société cliente Alpha car ils disposent du contrôle « par d’autres moyens », étant tenus à un pacte d’actionnaires/associés.
2.2.3 Démembrement de propriété
80% des actions de la société civile immobilière Alpha sont détenues par la famille de Mme A ; un démembrement des actions a été préalablement effectué : Mme A jouit de l’usufruit et les héritiers légaux de la nue-propriété (en indivision).
Selon l’art. 1852bis du Code Civil, le droit de vote appartient au nu-propriétaire, à l’exception des décisions concernant l’affectation des bénéfices, réservées à l’usufruitier (sauf dispositions contraires des statuts de la SCI).
Sauf dispositions contraires des statuts de la SCI, Mme A, qui n’est pas associée de celle-ci, détermine néanmoins l’affectation des bénéfices à hauteur de 80%. Ainsi, Mme A est BE de la SCI Alpha.
Ses héritiers légaux, nus propriétaires, détiennent 80% du capital et des droits de vote de la SCI ; ils sont donc BE (on assume qu’il n’existe pas de dispositions contraires dans les statuts de la SCI).
2.3 Identification du BE de dernier ressort de la personne morale : « le dirigeant principal »
Si le professionnel n’a pas de motif de suspicion sur son client (société) et qu’il n’a pas pu déterminer le(s) bénéficiaire(s) effectif(s) de l’entité qui détient/détiennent un contrôle direct sur celle-ci ou via une chaîne de détention indirecte ou qui la contrôle « par d’autres moyens », ou s’il n’est pas certain que la/les personne(s) identifiée(s) soi(en)t le(s) bénéficiaire(s) effectif(s), le professionnel désigne alors toute personne physique qui occupe la position de dirigeant principal.
2.3.1 Cas des sociétés
La notion de « dirigeant principal » doit être comprise comme visant ceux des dirigeants de la société qui exercent, dans la pratique, l’influence la plus déterminante sur la gestion de la société. Il s’agira, en règle générale, du Chief Executive Officer (CEO) ou du président du comité de direction (de la société).
En l’absence de définition légale en droit luxembourgeois de la notion de dirigeant principal, les professionnels peuvent déterminer comme BE au cas par cas, en fonction des circonstances et selon les spécificités des droits étrangers des sociétés :
a) Le ou les gérants des sociétés en nom collectif, des sociétés en commandite simple, des sociétés à responsabilité limitée, des sociétés en commandite par actions et des sociétés civiles
b) Le directeur général / CEO des sociétés anonymes à conseil d’administration (système moniste)
c) Le membre du directoire auquel a été délégué la gestion journalière de la société en présence de sociétés anonymes à directoire et conseil de surveillance (système dualiste)
d) Le président ou le directeur de la société par actions simplifiées si ce dernier dispose de pouvoirs de représentation analogues à celui du président qui lui sont conférés par les statuts.
Si les représentants légaux mentionnés au a) ou au d) sont des personnes morales, le bénéficiaire effectif est la (ou les) personne(s) physique(s) qui représente(nt) légalement ces personnes morales.
La circulaire CSSF 20/742 précise qu’il sera exigé des entités assujetties qu’elles prennent les mesures raisonnables nécessaires pour vérifier l’identité de la personne physique qui occupe la position de dirigeant principal et qu’elles conservent les informations relatives aux mesures prises ainsi qu’à toutes difficultés rencontrées durant le processus de vérification.
Sources :
« (…) la notion de dirigeant principal est à comprendre en général comme étant l’organe de gestion légalement prévu et pas uniquement par exemple, le président d’un conseil d’administration. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».
Illustration où le(s) représentant(s) légal/légaux sont, par défaut, les bénéficiaires effectifs :
Aucun BE de la SAS Alpha n’a pu être identifié ni au titre de la détention de capital/droits de vote, ni au titre d’un contrôle par d’autres moyens.
Devraient ainsi être identifiés BE de la SAS Alpha, les représentants légaux de la SAS Alpha :
M. A (DG de la société Belle qui a la qualité de présidente de la SAS Alpha) puisque dans la SAS française, le pouvoir est exercé par une unique personne : le président, qui peut être une personne physique ou morale (seul organe de direction obligatoire).
M. B, le cas échéant, si les statuts de la SAS Alpha lui confère un pouvoir exécutif et de représentation identique à celui de la SA « Belle ».
La désignation du BE « dirigeant principal » devrait demeurer exceptionnelle et n’intervenir qu’après avoir épuisé tous les moyens possibles visés par la Loi (seuils de détentions directs/indirects ; contrôle par d’autres moyens) pour déterminer le(s) BE(s) du client sociétaire.
Selon la forme juridique de la société cliente, la fonction/désignation du dirigeant principal, BE, sera amenée à varier.
Le BE « dirigeant principal » est à identifier en priorité dans l’organe de gestion de la société, chargé de la gestion quotidienne de l’entité. Le professionnel est néanmoins invité à fonder son analyse, au cas par cas, selon les éléments de la relation d’affaires en présence.
Le « représentant légal » appliqué au cas de la société cliente luxembourgeoise (exemple non exhaustif):
Tableau indicatif du « représentant légal »
Représentant légal (pouvoir exécutif de l’organe de gestion/ gérance/direction) | Organe d’administration |
|
BE de « dernier ressort » (dirigeant principal) | ||
- société à responsabilité limitée - société en nom collectif - société en commandite simple - société en commandite spéciale - société civile | associé commandité (« General Partner ») le(s) gérant(s) | Si SC spéciale structure de fonds d’investissement : les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion) |
société par actions simplifiées | - le président - le(s) directeur(s) (si les statuts de la SAS lui ont conféré un pouvoir de représentation analogue à celui du président) | |
société Anonyme avec Conseil d’administration (système moniste) | le directeur général (CEO) (sinon le représentant permanent chargé de l’exécution en présence d’un DG personne morale) | si SA SICAV: les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion) |
société Anonyme avec directoire et Conseil de Surveillance | - le membre du Directoire auquel a été délégué la gestion journalière/ représentation de la société (son président le cas échéant). (sinon son représentant permanent en présence d’une personne morale) | si SA SICAV: les membres du Conseil de surveillance sauf accord juridique spécifique (délégation des pouvoirs de gestion) |
société en commandite par actions | le(s) Gérant(s) (actionnaire commandité le cas échéant) | si SCA SICAV: les membres du CA sauf accord juridique spécifique (délégation des pouvoirs de gestion) |
« Pour les fonds communs de placement, les représentants légaux de la société de gestion du fonds : les membres du Conseil d’Administration, sauf accord juridique spécifique devraient être considérés comme « dirigeant principal » (c.-à-d. BE de dernier ressort).
2.3.2 Cas des associations
Les associations sans but lucratif peuvent être impliquées dans la collecte ou la distribution de fonds pour des motifs caritatifs, religieux, culturels, éducatifs, sociaux, confraternels ou pour d’autres types de « bonnes œuvres ». Néanmoins, elles sont susceptibles d’être utilisées à des fins moins vertueuses et courir le risque d’être exploitées notamment à des fins de financement du terrorisme, plutôt que de poursuivre un but non lucratif ou louable.
Le Ministère de la Justice a illustré quelques cas de figure où des associations/fondations sont utilisées à des fins de FT dans des orientations (« sensibilisation du secteur associatif aux risques de financement du terrorisme »).
QUE FAIRE ?
Le client du professionnel peut être une association (reconnue d’utilité publique ou non). Dans ce cas de figure, le professionnel adopte une approche prudente et identifie le bénéficiaire « de dernier ressort ».
Outre l’identification du BE de dernier ressort, le professionnel n’omet pas de distinguer si l’association est utilisée dans un montage à but effectivement philanthropique ou dans un montage d’optimisation patrimoniale. Il est recommandé d’obtenir des renseignements concernant : le nom et l’adresse de l’organisme, son objet caritatif ainsi qu’un extrait de registre de commerce.
Le GAFI estime que la personne physique exerçant le contrôle sur une personne morale correspond à celle qui supervise les affaires courantes/quotidiennes de cette dernière par le biais d’un poste de direction, par exemple celui de directeur général (CEO), de directeur financier (CFO) ou de président.
Ainsi, le dirigeant principal/représentant légal de l’ASBL, seul, désigné en vertu de dispositions légales ou statutaires, peut être enregistré comme BE dans le registre. Le cas échéant, les membres du comité exécutif/de direction, sinon, en l’absence de délégation des pouvoirs de gestion, les membres du conseil d’administration seront désignés BE dans le registre.
Au cas où le professionnel aurait des doutes quant à l’identification du BE (de dernier ressort) pour son client ASBL, celui-ci peut se référer à circulaire 19/02 du Luxembourg Business Registers :
« Si, malgré les recherches effectuées, aucun bénéficiaire effectif n’a pu être identifié au sens de la loi du 13 janvier 2019, le ou les dirigeants principaux sont alors considérés comme bénéficiaires effectifs et sont à ce titre, à inscrire au RBE.
Dans ce contexte, la notion de dirigeant principal est à comprendre en général comme étant le conseil d’administration et partant, l’ensemble de l’organe de gestion légalement prévu est à communiquer au RBE et pas seulement le président d’un conseil d’administration ou les membres d’un comité́ exécutif. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».
2.3.3 Cas des Organismes de placement collectif (OPC)
QUE FAIRE ?
Il convient ici de se référer aux orientations conjointes de l’ALCO, l’ALFI, LUX REAL et LPEA sur le bénéficiaire effectif du fonds d’investissement.
Le professionnel pourra également se référer au document de l’ALFI « Practices and Recommendations aimed at reducing the risk of money laundering and terrorist financing in the Luxembourg Fund Industry » pour l’aspect banque dépositaire (partie IV, point D).
En présence de fonds d’investissement de type SICAV, FCP, ou impliquant une forme juridique de type société en commandite spéciale ou « Limited Liability Partnership », le professionnel se réfère le cas échéant au tableau indicatif du représentant légal / dirigeant principal qui inclut l’identification du BE des sociétés dont la forme juridique est utilisée pour la création/gestion de fonds d’investissement.
Au Royaume-Uni par exemple, les fonds sont généralement constitués sous la forme de sociétés en commandite enregistrées auprès du registre des sociétés. Ces fonds ont un associé commandité (« General Partner ») qui exerce un pouvoir discrétionnaire sur les actifs du fonds.
En présence d’un fonds d’investissement (type SICAV) compartimenté, s’agissant d’une personnalité juridique unique, le professionnel recherche le(s) BE(s) du fonds au niveau de l’entité juridique et non par compartiments, ces derniers ne disposant pas d’une personnalité juridique propre.
Les orientations du GAFI (« guidance for a risk-based approach for the securities sector ») énoncent que c’est à l’intermédiaire (client du banquier dépositaire) qu’incombent les obligations de vigilance à l’égard de la clientèle, la compréhension de la clientèle de l’intermédiaire pouvant néanmoins être un élément utile pour déterminer le risque associé à l’intermédiaire. Le niveau de compréhension et le détail obtenu concernant la documentation doivent être adaptés au niveau de risque de l’intermédiaire.
Dans ce contexte, il s’agit aussi de noter que la banque dépositaire d’un OPC (dans la mesure où les textes législatifs imposent la nomination d’un dépositaire pour l’OPC) est tenue de prendre connaissance des biens et actifs financiers qui sont mis en dépôt auprès de la banque dépositaire et de procéder, le cas échéant, à une vérification de l’origine et de l’existence de ces biens et/ou actifs.
Ce contrôle de diligence, communément connu sous l’appellation « Know Your Assets », pourrait incomber aux banques dépositaires en dehors de toute disposition législative explicite sur la base d’un devoir de diligence générale dans le chef de la banque dépositaire, l’approche basée sur les risques ayant dûment été appliquée et en l’absence d’accord exprès/ délégation conclue avec le(s) gestionnaire(s) d’investissement.
La banque dépositaire peut néanmoins se fier à certaines présomptions légitimes concernant les biens et actifs mis en dépôt, dans la mesure où ces biens et actifs lui parviennent de certains types d’OPC, en accord avec l’approche basée sur les risques.
Une approche « Comply or Explain » est à privilégier, c.-à-d. que la banque devra documenter, le cas échéant expliquer au régulateur les présomptions appliquées, à défaut d’avoir procédé à un contrôle de diligence effectué sur les biens et actifs mis en dépôt auprès d’elle.
2.3.4 Cas des personnes morales de droit public et des sociétés dont les titres sont admis sur un marché réglementé
A. Les personnes morales de droit public
QUE FAIRE ?
Les administrations ou entreprises publiques de pays ou territoires présentant un faible niveau de corruption doivent être considérées par le professionnel comme présentant un risque potentiellement moins élevé au sens de la Loi.
L’organisme financier qui a comme client une personne morale de droit public est tenu d’identifier son bénéficiaire effectif ce qui revient, au vu des garanties de transparence, à identifier le bénéficiaire effectif en dernier ressort, à savoir son représentant légal.
Ainsi, la personne à qui la gestion journalière de l’établissement public / personne morale contrôlée par l’État a été confiée en vertu de dispositions légales ou statutaires peut être enregistrée comme BE dans le registre. Le cas échéant, les membres du comité exécutif/de direction, sinon les membres du conseil d’administration seront désignés BE dans le registre.
Si des représentants de l’État sont membres du comité exécutif ou du conseil d’administration, l’inscription de ces derniers au RBE est remplacée par celle de leur Ministre de tutelle.
La trésorerie de l’État du Luxembourg rassemble une liste des établissements publics, fondations et groupements d’intérêt économique qui répertorie les représentants légaux de ceux-ci.
B. Les sociétés dont les titres sont admis à la négociation sur un marché réglementé
« (…) Les sociétés dont les titres sont admis à la négociation sur un marché réglementé au Grand-Duché de Luxembourg ou dans un autre État partie à l’accord sur l’Espace économique européen ou dans un autre pays tiers imposant des obligations reconnues comme équivalentes par la Commission européenne au sens de la directive 2004/119/CE du Parlement européen et du Conseil du 15 décembre 2004 sur l’harmonisation des obligations de transparence concernant l’information sur les émetteurs dont les valeurs mobilières sont admises à la négociation sur un marché réglementé et modifiant la directive 2001/34/CE inscrivent uniquement le nom du marché réglementé sur lequel leurs titres sont admis à la négociation ».
Puisque les sociétés dont les titres sont admis à la négociation sur un marché réglementé au Luxembourg ou dans l’EEE ne devront renseigner que le nom du marché réglementé dans le registre des bénéficiaires effectifs des sociétés, le professionnel identifie ainsi le nom du marché réglementé sur lequel les titres de la société cliente sont admis comme BE.
En présence d’une société cliente détenue majoritairement par une société dont les titres sont admis à la négociation sur un marché réglementé, le professionnel identifie en tant que BE le « dirigeant principal » de la société titulaire du compte ; il appose en marge de la documentation dudit BE le nom du marché réglementé de la société cotée qui détient la société cliente.
2.3.5 Cas des syndics de copropriété (NEW)
Conformément aux prescriptions de la loi du 16 mai 1975 portant statut de la copropriété des immeubles bâtis, les copropriétaires sont obligatoirement regroupés en un syndicat (syndic de copropriété), agissant en tant que représentant légal de la communauté des copropriétaires.
Le plus souvent, les syndics sont dotés de la personnalité juridique, enregistrés au Registre du Commerce de Luxembourg, ainsi soumis à la loi du 13 janvier 2019 instituant un registre des bénéficiaires effectifs.
QUE FAIRE ?
En quête des bénéficiaires effectifs des syndics, certains professionnels constatent parfois que ceux-ci ont tendance à faire valoir que les copropriétaires de l’immeuble devraient être désignés comme bénéficiaires effectifs des syndics, indiquant que le rôle des syndics ne consiste qu’à’ exécuter des décisions au nom des copropriétaires.
Même si la décision du syndic est prise en assemblée générale des copropriétaires, et malgré le fait qu’un conseil syndical surveille hypothétiquement le syndic, c’est le syndic qui exploite seul et contrôle le compte bancaire, les copropriétaires n’ayant rien à dire dans la gestion du compte bancaire du syndic.
Conformément à la définition du bénéficiaire effectif telle qu’elle figure à l’article 1, paragraphe (7), point a), (ii) de la loi du 12 novembre 2004, dans le cas des sociétés, le syndicat étant une personne morale, « la personne physique qui occupe la position de dirigeant principal » doit être désignée comme bénéficiaire effectif du syndic.
2.3.6 Cas particulier des ONG
L’évaluation nationale des risques en matière de blanchiment considère que les ONG présentent un risque inhérent élevé ; celles-ci sont en effet susceptibles d’être utilisées pour le financement d’actes terroristes.
Le professionnel adopte une approche prudente dans l’identification du BE d’une ONG en tenant dûment compte de sa structure juridique, de la nature de ses activités et de la relation d’affaires qu’elle entend entretenir avec le professionnel.
2.4 Le BE des fiducies et des trusts et autres constructions juridiques similaires
2.4.1 Fiducies et trusts
Le professionnel doit identifier le BE et prendre « des mesures raisonnables pour vérifier son identité (, de telle manière que le professionnel ait l’assurance de connaître ledit BE, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ».
Les informations que le fiduciaire luxembourgeois devra par ailleurs recueillir sur le BE d’une fiducie soumise à la loi luxembourgeoise du 27 juillet 2003 relative au trust et aux contrats fiduciaires afin d’alimenter un registre créé à cet effet, figurent dans la loi du 10 août 2018 relative aux informations à obtenir et à conserver par le professionnel agissant en qualité de fiduciaire.
Au cas où le « trustee »/ fiduciaire est une personne morale, le professionnel se réfère aux orientations « ABBL CRS – related FAQs » relatives au test du dirigeant principal («senior managing official test »).
Dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale, l’application du principe du dirigeant principal s’applique dans le cas d’un «corporate trustee » (fiduciaire personne morale) détenant un contrôle/une participation majoritaire dans une entité non financière passive.
Par analogie, le professionnel identifie ainsi le « dirigeant principal » du trustee personne morale tout en cherchant à disposer d’informations suffisantes sur toute la chaîne de détention en cas d’interposition de structures sociétaires afin de procéder aux analyses de notoriété.
« Les pays devraient prendre des mesures pour empêcher l’utilisation des constructions juridiques à des fins de blanchiment de capitaux ou de financement du terrorisme. En particulier, les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les trusts exprès, parmi lesquelles des informations sur le constituant, le trustee et les bénéficiaires, peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes (…) ».
Concernant l’obligation d’identification des « bénéficiaires effectifs » des trusts/fiducies, tout particulièrement de droit étranger, on note que les éléments d’identification du fiduciaire, du constituant (settlor), du protecteur le cas échéant et du/(des) bénéficiaire(s) se situent dans l’acte constitutif du Trust/ contrat fiduciaire.
Les trusts et fiducies peuvent couvrir des situations extrêmement diverses et les exigences documentaires seront différentes en fonction de la variété des situations.
Le professionnel doit être conscient du fait que les comptes clients établis au nom d’un trust/fiducie pourraient servir à contourner les procédures d’identification de la clientèle. Pour cette raison, la compréhension de la véritable nature de la relation d’affaires est essentielle. Il convient de rechercher si le client se fait passer pour un autre, s’il sert de « couverture » ou s’il agit au nom d’un tiers en qualité d’intermédiaire. À cette fin, il est utile de demander des justificatifs de l’identité des intermédiaires et personnes au nom desquels il agit ainsi que des précisions concernant la nature de la fiducie / du trust. La constitution d’un trust/fiducie est habituellement, mais pas systématiquement, consignée par écrit sous la forme d’un acte fiduciaire / trust deed.
Le professionnel s’efforce d’obtenir la liste des apporteurs de fonds et des bénéficiaires effectifs au moyen de l’acte constitutif du trust/fiducie ou par tout autre moyen permettant de donner raisonnablement foi aux informations qui lui sont communiquées. La difficulté tient essentiellement à l’identification des bénéficiaires effectifs, la « letter of wishes » ne lui étant généralement pas communiquée. La « letter of wishes » est le document par lequel le constituant du trust ou de la structure fiduciaire désigne les bénéficiaires finaux et les modalités de distribution du patrimoine.
La situation la plus simple est celle de l’ouverture du compte au nom du trustee, personne physique, mais il arrive souvent que le compte soit ouvert au nom d’une structure juridique, généralement une personne morale située dans un pays dit « offshore ».
Il se peut que, dans certaines structures fiduciaires, les bénéficiaires ne puissent pas être nominativement désignés car ils sont en devenir (enfants à naître) ou en raison du fait que le bénéfice est subordonné à la réalisation d’évènements déterminés. Dans une telle hypothèse, il serait suffisant de déterminer le « groupe de personnes »/ catégorie de bénéficiaires ainsi désigné. Cette exigence ne devrait pas impliquer l’identification de chaque individu formant ce groupe de personnes.
2.4.2 Les bénéficiaires effectifs des fondations / constructions juridiques similaires à des fiducies/trust
« Pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, (le professionnel identifie) toute personne physique occupant des fonctions équivalentes ou similaires à celles (de constituant, fiduciaire/trustee, bénéficiaires ou toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie/trust par propriété directe ou indirecte ou par d’autres moyens)».
2.5 Cas de la personne physique « pour laquelle une transaction est réalisée »
Est aussi considéré BE selon la Loi « toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée ».
Cette situation concerne le cas de « l’homme de paille », appelé à couvrir de son nom les opérations réalisées pour le compte d’une tierce personne qui souhaite conserver l’anonymat, souvent dans un but illicite.
Cela pourrait également concerner, par exemple, la situation où le gardien d’une propriété, appartenant à une personne physique étrangère non-résidente, ouvre auprès d’un établissement de crédit un compte à son nom afin d’y domicilier exclusivement les opérations concernant les frais d’entretien de ladite propriété. Le compte est alimenté par des virements en provenance du propriétaire. Dans ce cas, le client est le gardien de la propriété et bénéficiaire effectif le propriétaire.
Dans l’hypothèse où des structures d’investissement (« special purpose vehicles »), par ex. SOPARFIs, sociétés de titrisation, fonds d’investissement spécialisé, sont mis en place à l’initiative d’une personne qui ne détient pas plus de 25% du capital dans cette structure, mais en retire néanmoins la plupart des bénéfices, le professionnel tente d’identifier/vérifier l’identité de cette personne comme BE (approche « bottom-up »).
Dans le cadre d’un fonds de titrisation non agréé par exemple (« SPV securitisation »), géré par une société de gestion, les investisseurs seront titulaires de parts de copropriété du fonds (recevant la qualification de « valeurs mobilières » quand bien même le fonds n’a pas de personnalité morale). Ces investisseurs recevront de manière récurrente les intérêts qui leur sont dus. Ainsi, ces investisseurs devraient être considérés comme BE de la structure de titrisation mise en place.
III – Les mesures d’identification et de vérification de l’identité à l’égard des bénéficiaires effectifs
La 4ème directive anti-blanchiment telle que modifiée impose que certaines informations sur les bénéficiaires effectifs des sociétés et des fiducies soient mises à disposition dans des registres auxquels les professionnels auront accès. Le professionnel pourra, outre les informations reçues par son client, consulter les registres établis dans les États Membres afin de conforter les informations qui lui ont été remises par son client.
1. Mesures d’identification
« Sans préjudice des obligations renforcées de vigilance ou l’application de mesures de vigilance simplifiées, le cas échéant, l’identification des bénéficiaires effectifs (…) porte sur le(s) nom(s), prénom(s), nationalité(s), date et lieu de naissance et leur adresse ainsi que sur l’adresse postale complète de la résidence principale. D’après l’appréciation du professionnel, elle inclura aussi le numéro d’identité national officiel ».
2. Mesures de vérification
« La vérification de ces données (des bénéficiaires effectifs) s’effectuera, notamment, au moyen des informations obtenues auprès du client, des registres centraux au sens des articles 30 paragraphe 3 et 31 paragraphe 3bis de la directive (UE) 2015/849 ou de toute autre source indépendante et fiable disponible.
Le seul recours aux registres centraux tel que mentionné ci-dessus ne constitue pas un moyen suffisant afin de remplir les obligations de vigilance, le professionnel prendra donc Le professionnel prendra toutes mesures raisonnables afin d’acquérir l’assurance de connaître l’identité réelle du bénéficiaire effectif. Le caractère raisonnable de ces mesures est déterminé, notamment, en fonction du niveau de risque de blanchiment ou de financement du terrorisme que le professionnel estime associé au profil du client ou à la nature de la relation d’affaires ou de la transaction souhaitée par le client ».
L’accès des professionnels au Registre des bénéficiaires effectifs (des sociétés) instauré par la loi du 13 janvier 2019 permettra d’obtenir des informations sur certaines entités immatriculées au Registre du commerce et des sociétés de Luxembourg à partir du 1er Septembre 2019, étant entendu que la Loi précise que les professionnels ne s’appuient pas exclusivement sur des registres centraux pour remplir leurs obligations de vigilance à l’égard de la clientèle.
Aux fins de la vérification de l’identité des bénéficiaires effectifs, le professionnel se réfère aux exemples de documents eu égard à l’identification du client personne physique.
A défaut de prescriptions légales ou réglementaires plus détaillées, le professionnel garde une discrétion assez importante quant au choix de documentation utilisée aux fins de la vérification de l’identité du BE.
L’obligation d’obtenir une déclaration de BE signée par le(s) BE ou ses représentants figure dans le Règlement CSSF n°12-02 ; le professionnel sera bien avisé de pérenniser cette pratique (voir art.17 du Règlement CSSF).
Pour information, eu égard aux « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale, les personnes qui « détiennent le contrôle » d’une entité et qui doivent faire l’objet d’une déclaration au sens de la loi du 18 décembre 2015 doivent renseigner leur « nom, l’adresse, la ou les juridiction(s) de résidence et le ou les NIF et les date et lieu de naissance (…) ».
« Les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les bénéficiaires effectifs et sur le contrôle des personnes morales peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes. En particulier, les pays dans lesquels les personnes morales peuvent émettre des actions au porteur ou des bons de souscription d’actions au porteur, ou qui autorisent les actionnaires ou administrateurs agissant pour le compte d’une autre personne (nominee shareholders or nominee directors), devraient prendre des mesures efficaces pour s’assurer qu’elles ne sont pas détournées à des fins de blanchiment de capitaux ou de financement du terrorisme. Les pays devraient envisager de prendre des mesures pour faciliter l’accès aux informations sur les bénéficiaires effectifs et sur le contrôle des personnes morales par les institutions financières (…) ».
3. Cas particulier des parts au porteur
Dans le cadre de relations d’affaires impliquant des « nominees », le professionnel demande à ces derniers d’obtenir les informations nécessaires à l’identification du BE des titres (c.à.d. la personne physique qui est propriétaire des titres détenus par le représentant/nominee).
Sous-section 3. Obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires, en ce inclus l’origine des fonds
Les mesures de vigilance à l’égard de la clientèle comprennent « l’évaluation la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations (par le professionnel) sur l’objet et la nature envisagée de la relation d’affaires ».
1 – Appréciation sur la relation d’affaires
Cette obligation vient en sus de l’obligation d’identification des clients / bénéficiaires effectifs et est tout aussi primordiale en ce qu’elle permet au professionnel d’aller au-delà d’une simple identification/vérification documentaire ; le professionnel va ainsi apprécier la nature des risques inhérents à sa relation avec le(s) client(s).
QUE FAIRE ?
La relation entre un professionnel financier et son client s’établit « intuitu personae ». L’étendue de la documentation demandée au client doit être fonction de la façon dont, et des circonstances dans lesquelles, l’entrée en relation s’est effectuée et des facteurs de risque liés au client.
Une fiche, dite « fiche profil », répertoriant un certain nombre de renseignements à obtenir du client est utilisée par le professionnel. Cette fiche doit permettre de parvenir à une connaissance aussi exhaustive que possible du client et, à ce titre, n’a pas à être approuvée par ce dernier. Il est recommandé d’appliquer ce type de fiche tant aux nouveaux clients qu’aux clients existants. Cette fiche doit également être mise à jour au fur et à mesure de l’évolution de la relation.
2 – L’origine des fonds
Le professionnel acquerra toutes les informations nécessaires sur l’origine des fonds du client :
« L’obligation des professionnels de connaître leur client comprend celle de recueillir (…), d’enregistrer, d’analyser et de comprendre, au moment de l’identification du client, des informations sur l’origine des fonds du client et les types de transactions pour lesquelles le client sollicite une relation d’affaires, ainsi que toutes les informations adéquates permettant de déterminer la finalité de la relation d’affaires envisagée dans le chef du client (…). Ces informations devront permettre au professionnel d’exercer une vigilance constante effective à l’égard du client (…) En fonction de l’appréciation des risques, cette obligation peut comprendre l’obligation d’obtenir des pièces probantes».
Afin d’accroître la plausibilité de l’origine des fonds, le professionnel doit vérifier la cohérence entre leur origine opérationnelle et l’origine économique indiquée par le client.
Tout document pertinent permettant de corroborer les dires du client, notamment en ce qui concerne la provenance des fonds, doit être conservé avec la documentation d’entrée en relation.
Le professionnel vérifie et consigne :
a) l’origine opérationnelle des fonds (cartes, virements, autres moyens de transfert)
b) l’origine géographique des fonds (pays tiers, pays de l’EEE, pays présentant des carences dans la lutte contre le blanchiment)
c) l’origine économique des fonds (salaires, revenus de capitaux mobiliers, succession).
Le professionnel a une obligation de moyens de déterminer l’origine économique des fonds de son client. Les informations suivantes peuvent être utiles ou même nécessaires et sont dès lors à documenter par la personne procédant à l’entrée en relation :
– situation de famille
– situation de fortune
– relations ou personnes de contact
– description de l’activité professionnelle
– autres sources de revenus
– but de la relation d’affaires
– origine des fonds
– appréciation générale
– entrée en relation pour son propre compte ou pour compte d’autrui
– toute autre information pertinente, pour des cas spécifiques, nécessaires à la connaissance du client (…).
L’ensemble des informations et documents ainsi obtenus, et le bon sens commun, doivent permettre au teneur de compte de porter un jugement concret quant à l’opportunité d’établir ou non une relation avec un client. Dans la mesure où le client présente des particularités, des incohérences ou des risques spécifiques, le professionnel obtiendra des pièces ou informations pertinentes supplémentaires afin d’atténuer les risques en jeu.
Afin d’assurer le respect des obligations issues d’autres dispositions légales ou réglementaires (abus de marché, gestion des conflits d’intérêts), le professionnel veillera à obtenir un certain nombre d’informations supplémentaires relatives au client et plus particulièrement son activité professionnelle.
Sous-section 4. Exercice d’une vigilance constante de la relation d’affaires et tenue à jour des documents, données ou informations détenues
1 . Considérations générales
L’exercice de la vigilance constante telle qu’imposée par la Loi est centrée autour de trois axes, comprenant pour le professionnel l’obligation d’effectuer :
– un contrôle transactionnel
– une revue permanente (« event driven ») de la relation d’affaires
– une revue périodique de la relation d’affaires.
Le suivi du client en fonction du risque doit s’appuyer soit sur un processus de contrôle permanent basé sur le niveau de risque de chaque client et mettant en évidence tout comportement inhabituel, soit au travers d’un réexamen périodique également fonction du niveau de risque du client. Ce suivi se base sur la comparaison de la fiche profil avec les opérations effectuées par le client (contrôle transactionnel).
Le profil d’un client est susceptible de changer au cours du temps. C’est la raison pour laquelle, afin de s’assurer que ses données sont d’actualité, il est recommandé aux professionnels de procéder à une réévaluation des données qu’ils ont collectées au moment de l’entrée en relation d’affaires. En particulier, lorsqu’un client a été accepté et qu’il apparaît ultérieurement que ce client ou le BE est une personne politiquement exposée ou le devient, le maintien de la relation d’affaires devrait, le cas échéant, être soumis à l’autorisation d’un niveau élevé de la hiérarchie.
Cette révision peut notamment avoir lieu à l’occasion d’une transaction significative, d’une modification substantielle des normes de documentation sur la clientèle ou d’un changement important dans le mode de gestion du compte, ou à tout autre moment si un professionnel réalise qu’il manque d’informations au sujet d’un client existant.
Certaines circonstances (changements d’actionnaires, changement de mandataire, fonctionnement inhabituel du compte, par exemple auprès de professionnels dont l’activité normale implique la conservation de fonds de tiers auprès d’un établissement financier, etc.) peuvent indiquer que le BE a pu changer ou que le client n’agit pas ou plus pour son propre compte. Il est recommandé de clarifier la situation dans tous les cas, donc de procéder le cas échéant à une nouvelle identification du BE.
Le professionnel met également en place des mécanismes de contrôle lui permettant, lors de l’acceptation des clients et du suivi des relations d’affaires, de détecter les personnes telles que les PPE / pays au dispositif LBC/FT lacunaire/ personnes visées par des mesures restrictives en matière financière (voir ci-dessous – point 2, b).
Cas particuliers : les comptes dormants et les chèques
Les comptes dormants présentent une certaine particularité qui rend une mise à jour documentaire malaisée. Il est recommandé que les professionnels mettent en place des procédures spécifiques pour la surveillance des comptes dormants et la mise à jour des données relatives aux clients concernés.
Le fait qu’un compte dormant devienne soudainement actif doit éveiller l’attention du professionnel.
Le traitement des chèques, notamment à endossement multiple, tout comme le traitement des chèques de banque, nécessitent également une attention particulière.
[/messge-box]
2 . Appréciation sur les transactions et détection des opérations complexes et des transactions inhabituelles
a. Appréciation générale
« les mesures de vigilance à l’égard de la clientèle comprennent l’exercice d’une vigilance constante de la relation d’affaires, notamment en examinant les transactions conclues pendant toute la durée de cette relation d’affaires et, si nécessaire, sur l’origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu’a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en s’assurant que les documents, données ou informations détenus obtenus dans l’exercice du devoir de vigilance à l’égard de la clientèle restent à jour et pertinents. A cette fin, les professionnels examinent les éléments existants, et ceci en particulier pour les catégories de clients présentant des risques plus élevés.»
La vigilance constante de la relation d’affaires impose l’examen des transactions effectuées par le client au fil de la relation d’affaires. Cet examen continu des transactions effectué par le client oblige le professionnel, si nécessaire, à collecter des informations sur l’origine des fonds.
b. Opérations complexes, transactions inhabituelles et mesures restrictives
« Le devoir de vigilance constante (…) inclut au minimum l’obligation de détecter sans délai :
- (…) les Etats, personnes, entités ou groupes impliqués dans une transaction ou une relation d’affaires qui sont visés par des mesures restrictives en matière financière dans le cadre de la lutte contre le financement du terrorisme, dont notamment celles introduites au Luxembourg par le biais de règlements de l’Union Européenne directement applicables en droit national, ou par l’adoption notamment de règlements ministériels; et
- les Etats, personnes, entités ou groupes impliqués dans une transaction ou une relation d’affaires qui sont visés par des mesures restrictives en matière financière, dont notamment celles introduites au Luxembourg par le biais de règlements de l’Union Européenne directement applicables en droit national ou, le cas échéant, par l’adoption de textes règlementaires pris au niveau national pour leur exécution. »
Le professionnel a également l’obligation de détecter les Etats, personnes, entités et groupes visés par des mesures restrictives en matière financière par rapport aux actifs qu’il gère et de s’assurer que les fonds ne seront pas mis à disposition de ces Etats, personnes, entités ou groupes.
En cas de détection de personnes, entités ou groupes visés au présent article, (…) le professionnel est tenu sans délai d’appliquer les mesures restrictives requises et d’informer les autorités compétentes en matière de sanctions financières. Copie de cette communication est à adresser en même temps à la CSSF ».
Une liste de liens aux listes de personnes, entités et groupes concernés est disponible dans l’annexe III, partie B infra.
« (…) le professionnel doit veiller à ce que le système interne utilisé pour ce contrôle ou mis à disposition par un prestataire de services externe auquel il a recours pour les besoins de ce contrôle, est adapté sans délai afin de pouvoir respecter ses obligations (…) ».
L’obligation d’exercer une vigilance constante de la relation d’affaires impose que soient « notamment soumises une attention particulière les transactions qui dépassent certains montants, les mouvements d’une ampleur très élevée sur un compte incompatible avec le montant du solde ou encore des transactions qui sortent du schéma normal des mouvements du compte ».
« Les professionnels sont tenus d’examiner dans toute la mesure du possible le contexte et l’objet de ces transactions, de consigner les résultats de ces examens par écrit et de conserver ces pièces conformément à (…) la Loi et de les garder à la disposition des autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme et des réviseurs d’entreprises pendant au moins cinq ans, sans préjudice des délais de conservation plus longs prescrits par d’autres lois ».
« Au titre de la vigilance constante des professionnels(…), les professionnels sont tenus de détecter les opérations complexes ou transactions inhabituelles (…) en tenant compte, notamment de:
- l’importance des entrées et sorties de valeurs patrimoniales et du volume des montants impliqués. Sont également visées les transactions impliquant des montants faibles mais à fréquence anormalement élevée ;
- l’existence de divergences par rapport à la nature, au volume ou à la fréquence des transactions normalement effectuées par le client dans le cadre de la relation d’affaires concernée ou l’existence de divergences par rapport à la nature, au volume ou à la fréquence des transactions habituellement pratiquées dans le cadre de relations d’affaires comparables ;
- l’existence de divergences par rapport aux déclarations faites par le client lors de la procédure d’acceptation par rapport à l’objet et à la nature de la relation d’affaires, notamment en ce qui concerne la provenance ou la destination des fonds impliqués ».
1) « Les professionnels doivent disposer de procédures et mettre en place des mécanismes de contrôle leur permettant, lors de l’acceptation des clients et du suivi des relations d’affaires, de détecter notamment : (…)
– les personnes telles que visées aux articles 30, 31 et 33 (du Règlement CSSF n°12-02) (c.-à-d. les PPEs, les clients des pays à haut risque et les personnes visées par des mesures restrictives en matière financière).
– les fonds en provenance ou à destination des Etats, personnes, entités ou groupes (…) impliqués dans une transaction ou une relation d’affaires qui sont visés par des interdictions/mesures restrictives en matière financière dans le cadre de la lutte contre le blanchiment et le financement du terrorisme ou de pays/territoires dont le dispositif LBC/FT est jugé comme insuffisant.
– les opérations complexes ou transactions inhabituelles (en tenant compte notamment de l’importance des entrées et sorties de valeurs patrimoniales, de l’existence de divergences par rapport à la nature/volume/fréquence des transactions normalement effectuées par le client et par rapport aux déclarations faites par le client lors de la procédure d’acceptation).
– un transfert de fonds avec informations manquantes ou incomplètes au sens du Règlement EU 2015/847) ».
(2) « La mise en place d’une base de données clientèle complète et à jour fait partie intégrante de ce dispositif de surveillance. En cas d’encodage par une personne physique du professionnel, ce travail devra subir un contrôle suivant le principe des quatre yeux (« 4-eyes principle»). Ce dispositif de surveillance doit couvrir l’intégralité des comptes des clients et de leurs transactions et doit viser tant les clients, les personnes prétendant agir pour le compte du client, les initiateurs et bénéficiaires effectifs que, dans le cadre de la surveillance des transferts de fonds, le donneur d’ordre d’un transfert de fonds entrant et le destinataire d’un transfert de fonds sortant du compte d’un client. Il doit tenir compte des risques identifiés par le professionnel pour ce qui le concerne en fonction, notamment, des caractéristiques de son activité et de sa clientèle. Il doit être automatisé, sauf si le professionnel peut démontrer que le volume et la nature des clients et des transactions à surveiller ne requièrent pas une telle automatisation ».
(3) « Les recherches de détection effectuées à l’aide du dispositif de surveillance doivent être dûment documentées, y compris dans les hypothèses où elles ne donnent pas de résultats positifs ».
(4) « Les transactions ou personnes détectées, ainsi que les critères ayant conduit à leur détection, doivent faire l’objet de rapports écrits. Ces rapports doivent être transmis au responsable du contrôle aux fins requises, notamment, au vu du respect de l’article 5 de la Loi. Le professionnel doit préciser par écrit la procédure relative à la transmission des rapports écrits au responsable du contrôle, incluant les délais de transmission requis ».
(5) « Le dispositif de surveillance doit permettre au professionnel de prendre rapidement les mesures requises en cas de détection d’une activité ou transaction suspecte, le cas échéant, de manière automatique. Le responsable du contrôle sera seul compétent pour décider de l’application et de l’envergure de ces mesures ainsi que de leur levée, le cas échéant, en concertation avec la direction et le responsable du respect».
(6) « Le dispositif de surveillance doit faire l’objet d’une validation initiale au moins par le responsable du respect et d’un contrôle régulier par le responsable du contrôle en vue de l’adapter, au besoin, à l’évolution des activités, de la clientèle et des normes et mesures en matière de LBC/FT ».
Le professionnel doit veiller à ce que ses employés signalent les transactions anormales et suspectes et que, selon les procédures internes propres à chaque professionnel, celles-ci soient consignées par écrit par les personnes en charge de la fonction compliance (notamment le responsable du contrôle du respect des obligations professionnelles – « RC »), quand bien même il n’aurait pas été jugé opportun de procéder à une déclaration aux autorités.
3. Activités requérant une attention particulière
« Dans le cadre de la vigilance constante, constituent notamment des activités requérant une attention particulière (…)
- les activités des clients dont l’acceptation a été soumise à un examen spécifique (…) (acceptation des clients susceptibles de présenter des niveaux élevés de risque) ; ainsi que
- les transferts de fonds au sens du Règlement (UE) 2015/847 et les exigences respectives précisées dans ce dernier règlement (…) ».
4. Mise à jour des documents et informations
« Le devoir de vigilance constante inclut l’obligation de vérifier et, le cas échéant, de mettre à jour, en conformité avec le délai maximal prévu par, et en tenant compte des moments opportuns précisés à, l’article 1 paragraphe 4 du Règlement grand-ducal (c.-à-d. au moins tous les sept ans, sans préjudice d’une fréquence plus importante en fonction de l’appréciation des risques), dans un délai adéquat déterminé par le professionnel en fonction de son évaluation des risques, les documents, données ou informations collectés lors de l’accomplissement des obligations de vigilance à l’égard de la clientèle (…) ».
«Pour ce qui concerne les relations d’affaires à risque élevé, la fréquence de revue doit être au moins annuelle ».
« Les professionnels sont tenus de documenter, tenir à jour et mettre à disposition des autorités de contrôle et des organismes de régulation les évaluations des risques (…). Les autorités de contrôle et les organismes d’autorégulation peuvent décider que certaines évaluations des risques individuelles documentées ne sont pas obligatoires si les risques spécifiques inhérents au secteur sont clairement identifiés et compris ».
Quant à l’obligation de tenir à jour les documents, données ou informations détenus, le professionnel doit faire une révision de ses clients et des documents (…), surtout ceux qui sont essentiels à la relation d’affaires et à la connaissance du client, à un intervalle qu’il détermine en fonction du risque associé à chaque client et du risque que comporte la relation d’affaires. Le règlement CSSF n°20-05 et le Règlement grand-ducal du 14 août 2020 sont venus apporter des précisions supplémentaires relatives à la mise à jour les données collectées par le professionnel. Cette mise à jour doit s’effectuer :
– Au minimum tous les 7 ans
– Plus fréquemment si la situation l’impose compte tenu de l’approche fondée sur les risques
– Au minimum annuellement pour les relations d’affaires à risque élevé
Suite à cette révision, les documents précités doivent être mis à jour si le professionnel constate des changements par rapport à la vérification précédente (par ex. modification des statuts, carte d’identité périmée).
« Lors de la revue et de la mise à jour des documents, données et informations relatives aux clients, le professionnel peut tenir compte de diverses sources d’informations, entre autres :
– des données et informations pertinentes dans le domaine public,
– du rapport national d’évaluation des risques BC/FT du pays du client,
– des rapports d’évaluation mutuelle du pays du client en matière de LBC/FT,
– d’autres informations obtenues à partir d’une source fiable et indépendante.
Des mesures internes de suivi doivent être arrêtées pour les cas pour lesquels le professionnel ne peut pas respecter les délais de mise à jour de la documentation ».
5. La conservation des documents et la protection des données à caractère personnel
1 – Conservation des documents
« Les professionnels sont tenus de conserver et mettre rapidement à disposition les documents, données et informations ci-après aux fins de prévention et de détection d’un éventuel blanchiment de capitaux ou d’un éventuel financement du terrorisme et des enquêtes en la matière par les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme ou par les organismes d’autorégulation :
a) en ce qui concerne les mesures de vigilance à l’égard de la clientèle, une copie des documents et informations qui sont nécessaires pour se conformer aux obligations de vigilance à l’égard de la clientèle prévues aux articles 3-3, y compris, le cas échéant, les données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance pertinents prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales compétentes, les livres de comptes, la correspondance commerciale, ainsi que les résultats de toute analyse réalisée, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel;
b)les pièces justificatives et les enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions individuelles afin de fournir, si nécessaire, des preuves dans le cadre d’une enquête ou instruction pénale, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel ».
« La période de conservation visée au présent paragraphe, y compris la période de conservation prolongée qui ne dépasse pas cinq années supplémentaires, s’applique également en ce qui concerne les données accessibles par l’intermédiaire des mécanismes centralisés visés à l’article 32bis de la directive (UE) 2015/849 ».
« Les professionnels sont également tenus de conserver les informations relatives aux mesures qui ont été prises afin d’identifier les bénéficiaires effectifs (…).
Sans préjudice des délais de conservation plus longs prescrits par d’autres lois, les professionnels sont tenus d’effacer les données à caractère personnel à l’issue des périodes de conservation visées à l’alinéa 1er. (…).
Par dérogation à l’alinéa 4, les professionnels conservent les données à caractère personnel pendant une période supplémentaire de cinq ans lorsque cette conservation est nécessaire pour la mise en œuvre efficace des mesures internes de prévention ou de détection des actes de blanchiment de capitaux ou de financement du terrorisme ».
2 – Respect des règles relatives à la protection des données
Concernant la compatibilité de la règle de la conservation des documents liés aux transactions financières 5 ans après la fin de la relation d’affaires avec le client avec le règlement européen sur la protection des données (UE) 2016/679 (RGPD), il convient de considérer que la licéité du traitement des données personnelles réside dans le « respect d’une obligation légale à laquelle le responsable de traitement est soumis ».
A) Information des personnes concernées et avertissement général
– Le client :
« Les professionnels communiquent aux nouveaux clients les informations requises en vertu des articles 13 et 14 du RGPD avant de nouer une relation d’affaires ou d’exécuter une transaction à titre occasionnel.
Ces informations contiennent en particulier un avertissement général concernant les obligations légales des professionnels au titre de la présente loi en ce qui concerne le traitement des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».
– L’avertissement général :
L’avertissement général contiendra notamment les informations précontractuelles à fournir aux clients/personnes concernées telles que renseignées dans les orientations ABBL intitulées « Steps forward in implementing the GDPR ». En sus, il renverra aux obligations professionnelles telles que contenues dans la Loi et auxquelles le professionnel est assujetti ; la licéité du traitement des données du client concordant avec le respect d’une obligation légale à laquelle le professionnel (« responsable du traitement ») est soumis.
– Le bénéficiaire effectif :
Le professionnel ne collectant qu’indirectement l’information du BE par le biais de son client, il n’aura pas à informer le BE de par l’exception figurant dans le RGPD.
– L’information des bénéficiaires effectifs :
Quant à l’information préalable à fournir au(x) bénéficiaire(s) effectif(s), étant avant tout entendu que les mesures de vigilance à l’égard de la clientèle imposent au professionnel d’identifier et de vérifier l’identité du(des) bénéficiaire(s) effectif(s) de par la Loi, et que ces informations n’auront pas été collectées par le professionnel auprès de ce(s) dernier(s), le professionnel n’aura pas à l’en/les informer :
L’information préalable n’est pas à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée « dans la mesure où (…) l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable de traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ».
De surcroît, les politiques de protection des données de certains établissements financiers indiquent qu’il appartient à leurs clients d’informer le cas échéant leurs bénéficiaires effectifs quant à un traitement utilisant les données personnelles de ces derniers.
On peut également noter que la Loi considère le traitement de données à caractère personnel comme une question d’intérêt public au sens du RGPD.
B) Restriction au droit d’accès
« (…) le responsable de traitement limite ou diffère l’exercice du droit d’accès de la personne concernée aux données à caractère personnel la concernant lorsqu’une telle mesure est nécessaire et proportionnée pour :
a) permettre au professionnel, à la CRF, à une autorité de contrôle ou à un organisme d’autorégulation d’accomplir ses tâches comme il convient aux fins de la présente loi (…) » b) éviter de faire obstacle aux demandes de renseignements, analyses, enquêtes ou procédures à caractère officiel ou judiciaire, menées aux fins de la présente loi et pour ne pas compromettre la prévention et la détection des cas de blanchiment de capitaux ou de financement du terrorisme ni les enquêtes en la matière».
Pour mémoire, le RGPD permet à l’État membre de limiter les droits des « personnes concernées » dans certains cas de figure, par ex. « dans le cadre de la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».
OBLIGATIONS RENFORCEES DE VIGILANCE A L’EGARD DE LA CLIENTELE
La Loi prescrit les cas de figure dans lesquels le professionnel devra appliquer des obligations renforcées de vigilance à l’égard de la clientèle.
Les critères suivant lesquels le professionnel se trouve face à une situation présentant un risque plus élevé et impliquant de ce fait une vigilance renforcée dans son chef sont précisés dans l’annexe IV de la Loi.
Si le professionnel est en présence d’éléments indicatifs de risques plus élevés, il sera « tenu d’examiner, dans la mesure du raisonnable, le contexte et la finalité de toute transaction qui remplit au moins une des conditions suivantes :
a) il s’agit d’une transaction complexe
b) il s’agit d’une transaction d’un montant inhabituellement élevé
c) elle est opérée selon un schéma inhabituel
d) elle n’a pas d’objet économique apparent ou d’objet licite apparent.
Le professionnel renforce notamment le degré et la nature des mesures de surveillance de la relation d’affaires, afin d’apprécier si ces transactions ou activités semblent inhabituelles ou suspectes ».
Aux côtés de la liste non exhaustive des facteurs et des types d’éléments indicatifs d’un risque potentiellement plus élevé, on retrouve des situations dans lesquelles le professionnel sera toujours en présence d’un risque élevé, devant par conséquent toujours appliquer des obligations de vigilance renforcées :
- Pour des relations d’affaires ou les transactions impliquant des pays à haut risque
Néanmoins, des mesures de vigilance renforcées à l’égard de la clientèle ne doivent pas nécessairement être automatiquement appliquées dans les succursales ou filiales détenues majoritairement, qui sont situées dans des pays à haut risque, si ces succursales ou filiales respectent intégralement les politiques et procédures en vigueur à l’échelle du groupe conformément à l’article 4-1 ou à l’article 45 de la directive (UE) 2015/849.
- En cas de relations transfrontalières de correspondants et autres relations similaires avec des établissements clients
- Dans le cadre de relations d’affaires avec des personnes politiquement exposées.
Les situations imposant des mesures de vigilance renforcées vont être détaillées une par une ci-dessous.
Section 1. Les personnes politiquement exposées
1. Le risque causé par une PPE
L’attention particulière que les professionnels sont tenus de porter à ces personnes vient d’une part du risque de réputation lié à des clients exerçant des responsabilités politiques, notamment dans des régimes autoritaires, et d’autre part du risque de blanchiment de fonds issus de la corruption.
Ces personnes peuvent également se servir de leurs familles ou associés pour dissimuler des fonds ou des actifs qui ont été détournés du fait de l’abus de leur position officielle ou du fait d’un acte de corruption. De plus, ils peuvent chercher à utiliser leur pouvoir et influence afin d’obtenir la représentation et/ou l’accès, ou le contrôle d’entités juridiques à des fins similaires.
2. Définition d’une PPE
Les personnes politiquement exposées désignent « (…) les personnes physiques qui occupent ou se sont vu confier une fonction publique importante ainsi que les membres de leur famille ou des personnes connues pour leur être étroitement associées ».
« Les personnes physiques qui occupent ou se sont vu confier une fonction publique importante désignent :
a) Les chefs d’État, les chefs de gouvernement, les ministres, les ministres délégués et secrétaires d’État ;
b) Les parlementaires ou les membres d’organes législatifs similaires ;
c) Les membres des cours suprêmes, des cours constitutionnelles ou d’autres hautes juridictions dont les décisions ne sont pas susceptibles de recours, sauf circonstances exceptionnelles ;
d) Les membres des cours des comptes ou des conseils ou directoires des banques centrales
e) Les ambassadeurs, les chargés d’affaires et les officiers supérieurs des forces armées ;
f) Les membres des organes d’administration, de direction ou de surveillance des entreprises publiques ;
g) Les responsables et les membres des organes dirigeants de partis politiques ;
h) Les directeurs, les directeurs adjoints et les membres du conseil d’une organisation internationale, ou les personnes qui occupent une position équivalente en son sein. »
i) Les personnes physiques exerçant les fonctions figurant sur la liste publiée par la Commission européenne sur base de l’article 20bis, paragraphe 3, de la directive (UE) 2015/849 (…) »
« Chaque État membre établit et met à jour une liste indiquant les fonctions précises qui, aux termes des dispositions législatives, réglementaires et administratives nationales, sont considérées comme étant des fonctions publiques importantes (…) ».
3. Définition des membres de la famille et associés d’une PPE
L’identification d’une PPE doit aussi inclure l’examen des membres de sa famille ainsi que de ses associés, dans le cadre de la vigilance renforcée :
Les membres de la famille désignent « l’ensemble des personnes physiques comprenant notamment :
a) le conjoint ;
b) tout partenaire considéré par le droit interne comme l’équivalent du conjoint ;
c) les enfants et leurs conjoints ou partenaires considérés par le droit interne comme l’équivalent d’un conjoint ;
d) les parents ;
e) les frères et sœurs ».
La liste n’est donc pas exhaustive selon le libellé de la disposition.
Les personnes connues pour être étroitement associées désignent « (…) l’ensemble des personnes physiques comprenant notamment :
a) toute personne physique connue pour être le bénéficiaire effectif d’une personne morale ou d’une construction juridique conjointement avec une personne visée au paragraphe 10 ou pour entretenir toute autre relation d’affaires étroite avec une telle personne ;
b) toute personne physique qui est le seul bénéficiaire d’une personne morale ou d’une construction juridique connue pour avoir été établie au profit de facto de la personne visée au paragraphe 10 ».
4. Les obligations incombant au professionnel en présence d’une PPE
4.1 L’Identification des PPE
« (…) Les institutions financières devraient être obligées de prendre des mesures raisonnables pour déterminer si un client ou un bénéficiaire effectif est une PPE nationale ou une personne qui exerce ou a exercé une fonction importante au sein et pour le compte d’une organisation internationale. (…) ».
« Les systèmes adéquats de gestion des risques (en ce compris les procédures fondées sur les risques) permettant de déterminer si le client ou la personne prétendant agir pour le compte du client ou le bénéficiaire effectif est une personne politiquement exposée (…) comprennent au moins la sollicitation d’informations pertinentes auprès du client, le recours à des informations publiquement disponibles ou l’accès à des bases de données informatiques sur les personnes politiquement exposées. La détection des personnes politiquement exposées parmi les clients existants en cours de relation d’affaires, est à effectuer au minimum tous les six mois.»
Les personnes politiquement exposées doivent être identifiées car elles représentent un risque potentiellement élevé. Les mesures de vigilance renforcées doivent leur être appliquées. L’approche basée sur les risques permet de déterminer si le client ou le BE est une PPE, étant entendu que celle-ci fera l’objet d’une vigilance renforcée. Les professionnels sont donc tenus de disposer de systèmes de gestion des risques adéquats, y compris des procédures fondées sur les risques, afin de déterminer si un client potentiel, un client ou le bénéficiaire effectif est une personne politiquement exposée.
Chaque personne politiquement exposée est visée, qu’elle soit nationale ou étrangère. Les obligations renforcées de vigilance à l’égard des personnes politiquement exposées s’appliquent aussi lorsque la personne en question exerce une fonction publique importante dans un autre Etat membre ou dans un Etat tiers ou pour compte d’un de ces Etats.
Dès le moment où une personne rentre dans la catégorie des PPE, les obligations de vigilance renforcées lui sont applicables.
QUE FAIRE ?
– Souscrire un service informatique intégrant des bases de données relatives aux PPE et l’intégrer dans les systèmes existants
– Effectuer une veille législative au niveau européen quant aux États membres qui publient une liste nationale des fonctions publiques importantes conformément à la 5ème directive anti-blanchiment
– Vérifier régulièrement que la base de données clients ne contient pas des PPE (personnes physiques dont l’activité professionnelle/la fonction a changé).
4.2 Une obligation de vigilance renforcée
« Les professionnels doivent :
a) disposer de systèmes adéquats de gestion des risques, y compris des procédures fondées sur les risques, afin de déterminer si le client ou le bénéficiaire effectif est une personne politiquement exposée ;
b) obtenir l’autorisation à un niveau élevé de la hiérarchie avant de nouer ou, s’il s’agit d’un client existant, de maintenir une relation d’affaires avec de telles personnes ;
c) prendre toute mesure appropriée pour établir l’origine du patrimoine et l’origine des fonds impliqués dans la relation d’affaires ou la transaction avec de telles personnes ; De surcroît, les établissements de crédit et les établissements financiers doivent prendre toute mesure appropriée pour établir l’origine du patrimoine et l’origine des fonds des clients et des bénéficiaires effectifs identifiés comme des personnes politiquement exposées;
d) assurer une surveillance continue renforcée de la relation d’affaires
Le présent paragraphe est également applicable lorsque pour un client déjà accepté, il apparaît ultérieurement que le client ou le bénéficiaire effectif est une personne politiquement exposée ou qu’il le devient ».
« Lorsqu’un client a été accepté et qu’il apparaît ultérieurement que ce client ou le bénéficiaire effectif est une personne politiquement exposée ou le devient, les professionnels sont tenus d’obtenir d’un niveau élevé de la hiérarchie l’autorisation de poursuivre la relation d’affaires. La procédure d’autorisation requérant l’approbation d’un niveau élevé de la hiérarchie implique aussi le responsable du contrôle du respect des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme.
Les professionnels sont tenus de prendre toutes mesures raisonnables pour identifier l’origine du patrimoine et l’origine des fonds des clients et bénéficiaires effectifs identifiés comme des personnes politiquement exposées ».
4.3 Cas particulier du contrat d’assurance vie
La loi du 13 février 2018 ajoute de nouveaux critères en vue de déterminer si les bénéficiaires d’un contrat d’assurance-vie sont des personnes politiquement exposées :
« Les professionnels doivent prendre des mesures raisonnables en vue de déterminer si les bénéficiaires d’un contrat d’assurance vie ou d’un autre type d’assurance liée à des placements ou, le cas échéant, le bénéficiaire effectif du bénéficiaire sont des personnes politiquement exposées. Ces mesures sont prises au plus tard au moment du versement des prestations ou au moment de la cession, partielle ou totale, du contrat d’assurance. Lorsque des risques plus élevés sont identifiés, les professionnels, outre les mesures de vigilance à l’égard de la clientèle prévues à l’article 3, doivent :
a) informer un membre d’un niveau élevé de la hiérarchie avant le paiement des produits du contrat ;
b) exercer un contrôle renforcé sur l’intégralité de la relation d’affaires avec le preneur d’assurance;
c) faire une déclaration d’opérations suspectes à la CRF ou, si le professionnel est un avocat, au bâtonnier de l’Ordre des avocats respectif, si les circonstances donnent lieu à un soupçon de blanchiment ou de financement du terrorisme».
5. La PPE qui n’est plus en fonction
« Lorsqu’une personne politiquement exposée qui occupe ou s’est vu confier une fonction publique importante a cessé d’exercer une fonction publique importante pour le compte d’un État membre ou d’un pays tiers ou une fonction publique importante pour le compte d’une organisation internationale, les professionnels sont tenus de prendre en considération, pendant au moins douze mois, le risque que cette personne politiquement exposée continue de poser et d’appliquer des mesures appropriées, fondées sur l’appréciation de ce risque, jusqu’à ce que cette personne ne présente plus de risque particulier ».
QUE FAIRE ?
En fonction de son appréciation des risques, le professionnel pourra au cas par cas retenir des périodes allant au-delà de 12 mois après cessation de la fonction de la PPE et pour lesquelles le professionnel appliquera des mesures de vigilance appropriées.
Section 2. Banques correspondantes
« En cas de relation transfrontalière de correspondant et autres relations similaires avec des établissements clients, les établissements de crédit, les établissements financiers et autres institutions concernées par de telles relations, doivent, outre les mesures de vigilance à l’égard de la clientèle prévues à l’article 3, paragraphe (2), au moment de nouer une relation d’affaires :
a) recueillir sur l’établissement client des informations suffisantes pour comprendre pleinement la nature de ses activités et pour apprécier, sur la base d’informations accessibles au public, sa réputation et la qualité de la surveillance dont il fait l’objet, ce qui implique notamment de savoir si l’établissement client a fait l’objet d’une enquête ou de mesures de la part d’une autorité de contrôle en matière de lutte contre le blanchiment et contre le financement du terrorisme ;
b) évaluer les contrôles contre le blanchiment et contre le financement du terrorisme mis en place par l’établissement client;
c) obtenir l’autorisation à un niveau élevé de leur hiérarchie avant de nouer de nouvelles relations de correspondant;
d) comprendre clairement et établir par des documents les responsabilités respectives de chaque établissement;
e) en ce qui concerne les comptes « de passage » (« payable through accounts »), s’assurer que l’établissement client a vérifié l’identité des clients ayant un accès direct aux comptes des établissements de crédit, des établissements financiers et d’autres institutions concernées par de telles relations et a mis en œuvre à leur égard une surveillance constante, et qu’il peut fournir des données et informations pertinentes concernant ces mesures de vigilance à la demande de l’établissement correspondant » (voir également ci-dessous les nouveautés apportés par le RGD du 1er février 2010 pour les comptes de passage).»
« Il est interdit aux professionnels de nouer ou de maintenir une relation de correspondant avec une société bancaire écran ou avec un établissement de crédit ou établissement financier connu pour permettre à une société bancaire écran d’utiliser ses comptes. Les professionnels s’assurent que les correspondants n’autorisent pas des sociétés bancaires écran à utiliser leurs comptes. »
Le règlement Grand-ducal du 1er février 2010 (RGD) tel que modifié apporte des instructions supplémentaires en cas de relation transfrontalière de correspondant dans le cadre de la relation d’affaires avec l’établissement client. Le professionnel devra également :
- évaluer, sur la base d’informations publiquement disponibles, la réputation de l’établissement client et la qualité de sa surveillance, y compris vérifier si l’établissement concerné a fait l’objet d’une enquête ou d’une intervention de l’autorité de surveillance ayant trait au blanchiment ou au financement du terrorisme
- s’assurer de la pertinence et de l’efficacité des contrôles contre le blanchiment et contre le financement du terrorisme mis en place par l’établissement client
- comprendre clairement et préciser par écrit les responsabilités respectives de chaque établissement en matière de LBC/FT
Le RGD impose des obligations supplémentaires au professionnel en présence de comptes de passage. Celui-ci devra s’assurer que :
- « – leur client (l’établissement client) a appliqué toutes les mesures de vigilance prévues à l’article 3 de la Loi à ceux de ses clients qui ont directement accès aux comptes de l’établissement correspondant ;
- et que l’établissement client est en mesure de fournir des données d’identification et informations pertinentes sur ces clients sur demande de l’établissement correspondant. La fourniture de telles données et informations de la part des établissements de crédit luxembourgeois dans le cadre d’une relation avec un correspondant est autorisée.
Dans la mesure où d’autres institutions que des établissements de crédit sont concernées par des relations de correspondance bancaire, les règles en cette matière s’appliquent également à ces institutions ».
QUE FAIRE ?
Une société bancaire écran est un établissement de crédit ou un établissement exerçant des activités équivalentes à celles d’un établissement de crédit, constitué dans un pays où il n’a aucune présence physique effective par laquelle s’exerceraient une direction et une gestion véritables et qui n’est pas rattaché à un groupe financier réglementé.
En particulier, le professionnel doit notamment « recueillir des informations sur :
– le pays d’établissement du correspondant, ainsi que le dispositif légal et réglementaire et l’efficacité des contrôles de LBC/FT y applicable dans ce pays
– l’autorité et le régime de surveillance qui lui est applicable
– la propriété et la structure de contrôle du correspondant
Les services transfrontaliers de correspondant et autres relations similaires peuvent présenter des niveaux de risque élevé différents ce qui justifie, sur base d’une analyse par le professionnel, l’application de mesures de vigilance renforcées à degré d’intensité variable par le professionnel.
Les mesures de vigilance préconisées par le Comité mixte des autorités européennes de surveillance dans les orientations finales sur les facteurs de risque dans le cadre des activités de banque correspondante consistent par exemple :
– à identifier/vérifier l’identité de l’établissement client (en ce inclus des informations sur les dirigeants de l’établissement client) et celle de son BE
– à obtenir suffisamment d’informations sur les activités et la réputation de l’établissement client (type de clientèle de l’établissement, analyse qualitative des systèmes de contrôle LBC/FT du client)
– à établir/documenter la nature et l’objet du service fourni ainsi que les responsabilités de chaque établissement (modalité d’utilisation du service, accès au service)
– à contrôler la relation d’affaires et identifier les changements intervenus dans le profil de risque de l’établissement client et pour détecter tout comportement inhabituel ou suspect (par ex. les clients de l’établissement client ont un accès direct aux comptes fournis par le correspondant,
– à veiller à ce que l’établissement client n’autorise pas l’utilisation de ses comptes par une banque écran ou qu’il ne traite pas avec des banques fictives.
Une fois que ces informations sont recueillies, il appartient au professionnel de les analyser et de prendre une décision concernant la relation de correspondant bancaire. Cette décision doit être documentée par écrit et tenue à la disposition des autorités compétentes.
Le professionnel doit en outre procéder à un examen des informations sur la base desquelles repose la décision de nouer la relation, et le cas échéant, les mettre à jour. Si des informations sont de nature à ébranler la confiance dans le dispositif légal du pays d’établissement du correspondant, ou dans l’efficacité des contrôles en matière de lutte contre le blanchiment et le financement du terrorisme, le professionnel doit procéder au réexamen de la relation.
Enfin, le professionnel doit s’assurer du respect en tout temps par le correspondant des engagements auxquels il a souscrit, en fonction du risque (notamment, communication sans retard sur demande des données pertinentes d’identification de ses clients ayant un accès direct aux comptes de passage qui lui ont été ouverts).
Section 3. Pays à haut risque
« Un pays à haut risque est un pays « qui figure sur la liste des pays tiers à haut risque recensés en application de l’article 9, paragraphe 2, de la directive (UE) 2015/849 (c.-à-d. le Règlement délégué UE 2020/855) ou désigné comme présentant un risque plus élevé par le Groupe d’action financière (GAFI) ainsi que tout autre pays que les autorités de contrôle et les professionnels considèrent dans le cadre de leur évaluation des risques de blanchiment et de financement du terrorisme comme étant un pays à haut risque sur base des facteurs de risques géographiques énoncés à l’annexe IV (de la Loi) ».
Il n’y a pas de méthode standardisée permettant au professionnel d’attribuer un « scoring » « risque pays ». Si les professionnels appliquent la procédure utilisée par la maison mère du groupe, ceux-ci devront intégrer les critères de l’art. 1, para (30) de la Loi.
Quant à la mise à jour de la liste des pays à haut risque, celle-ci s’effectue au moins suite aux publications des actes délégués de l’UE recensant les pays tiers à haut risque ou des circulaires de la CSSF sur les déclarations du GAFI concernant les juridictions à haut risque à l’encontre desquelles s’imposent des mesures de vigilance renforcées.
En ce qui concerne les relations d’affaires ou les transactions impliquant des pays à haut risque, les professionnels appliquent les mesures de vigilance renforcées à l’égard de la clientèle mentionnées ci-après:
a) obtenir des informations supplémentaires sur le client et sur le ou les bénéficiaires effectifs et la mise à jour plus régulière des données d’identification du client et du bénéficiaire effectif
b) obtenir des informations supplémentaires sur la nature envisagée de la relation d’affaires
c) obtenir des informations sur l’origine des fonds et l’origine du patrimoine du client et du ou des bénéficiaires effectifs
d) obtenir des informations sur les raisons des transactions envisagées ou réalisées
e) obtenir d’un membre d’un niveau élevé de leur hiérarchie l’autorisation de nouer ou de maintenir la relation d’affaires
f) mettre en œuvre une surveillance renforcée de la relation d’affaires en augmentant le nombre et la fréquence des contrôles effectués et en déterminant les schémas de transaction qui nécessitent un examen plus approfondi».
La Loi n’impose pas au responsable du respect des obligations professionnelles (« RR »), c.-à-d. la personne occupant la fonction correspondant au « niveau élevé de la hiérarchie » selon l’art, 31, para. (2) du règlement CSSF 12-02 tel que modifié, son implication dans les transactions avec des pays à haut risque.
Le RR ne doit donc pas être impliqué ex-ante dans ces transactions. Le responsable du contrôle du respect des obligations professionnelles (« RC ») pouvant être impliqué ex-post dans le contrôle de ces transactions le cas échéant.
« Les professionnels veillent à ce que, le cas échéant, le premier paiement soit réalisé par l’intermédiaire d’un compte ouvert au nom du client auprès d’un établissement de crédit soumis à des normes de vigilance à l’égard de la clientèle au moins aussi élevées que celles prévues par la directive (UE) 2015/849 ».
« Des mesures de vigilance renforcées à l’égard de la clientèle ne doivent pas nécessairement être automatiquement appliquées dans les succursales ou filiales détenues majoritairement, qui sont situées dans des pays tiers à haut risque (…), si ces succursales ou filiales respectent intégralement les politiques et procédures en vigueur à l’échelle du groupe conformément à (…) la directive (UE) 2015/849. Les professionnels traitent ces situations en ayant recours à une approche fondée sur les risques ».
« Les institutions financières devraient être obligées d’appliquer des mesures de vigilance renforcées aux relations d’affaires et opérations avec les personnes, physiques ou morales, ainsi qu’avec les institutions financières, des pays pour lesquels le GAFI appelle à le faire. Le type de mesures de vigilance renforcées appliquées devrait être efficace et proportionnel aux risques ».
L’annexe III (A) infra fournit certains liens renseignant les pays tiers présentant des risques de corruption/ blanchiment-financement du terrorisme.
QUE FAIRE…pour atténuer les risques en présence de pays à haut risque ?
– Augmenter la quantité d’informations obtenues aux fins des mesures de vigilance à l’égard de la clientèle (par ex. sur l’identité́ du client ou du BE ou sur la structure de propriété et de contrôle du client, afin de s’assurer que le risque associé à la relation d’affaires est bien compris ; sur la nature envisagée de la relation d’affaires pour s’assurer que la nature et l’objet de la relation d’affaires soient légitimes et pour aider les établissements à obtenir un profil de risque plus complet sur le client).
– Augmenter la qualité des informations obtenues aux fins des mesures de vigilance à l’égard de la clientèle, afin de confirmer l’identité du client ou du BE (le premier paiement devrait être effectué par le biais d’un compte détenu, de manière vérifiable, au nom du client auprès d’une banque soumise à des règles de vigilance à l’égard de la clientèle identiques à celles de la 4ème directive anti-blanchiment par ex.).
– Augmenter la fréquence des réexamens pour s’assurer que l’établissement est toujours en mesure de gérer le risque associé à la relation d’affaires individuelle, ou lorsque la relation ne correspond plus à l’appétence au risque de l’établissement, pour l’aider à identifier les transactions qui nécessitent un examen plus approfondi.
Section 4. Exemples de mesures de vigilance renforcées à mettre en œuvre par secteur d’activité/ en cas de transactions n’impliquant pas la présence physique des parties
Le Comité mixte des Autorités de surveillance européenne, dans ses orientations finales sur les facteurs de risque, retient de nombreux critères à mettre en œuvre dans le chef du professionnel dans les situations spécifiques visées par la Loi ainsi que par secteur d’activité, étant entendu que les mesures figurant dans les orientations ne sont pas exhaustives, donc données à titre illustratif.
- Banque de détail :
– Vérifier l’identité du client et du BE sur la base de plusieurs sources fiables et indépendantes
– Obtenir plus d’informations sur le client et sur la nature ou l’objet de la relation d’affaires afin de construire un profil client plus complet
– Augmenter la fréquence du contrôle des transactions
– Réexaminer et mettre à jour les informations détenues plus fréquemment
- Gestion de patrimoine/ Banque privée :
Les mesures prescrites dans les orientations reprennent notamment celles indiquées pour la banque de détail.
En sus, le professionnel devra notamment établir l’origine du patrimoine et des fonds; lorsque le risque est particulièrement élevé et/ou que l’établissement a des doutes concernant la légitimité de l’origine des fonds, vérifier l’origine du patrimoine et des fonds peut être le seul outil adéquat pour atténuer les risques. L’origine des fonds ou du patrimoine peut être vérifiée en se référant, entre autres:
– à une fiche de paie récente
– à une confirmation écrite du salaire annuel signée par l’employeur
– à une confirmation de vente signée par un avocat/notaire
– à l’original ou à la copie certifiée conforme du testament ou de l’homologation du testament
– confirmation écrite de l’héritage signée par le notaire/fiduciaire/exécuteur testamentaire.
Le professionnel devrait par ailleurs contrôler les transactions de son client sur une base continue et si l’un des éléments transactionnel apparaît incompatible avec le profil de risque commercial du client.
- Émission de monnaie électronique et services de paiements :
Les mesures de vigilance renforcées à l’égard de la clientèle que les établissements devraient appliquer dans une situation à risque élevé comprennent notamment:
-L’obtention d’informations supplémentaires sur le client lors de l’identification, comme l’origine des fonds
– L’application de mesures de vérification supplémentaires à partir d’une plus grande variété de sources fiables et indépendantes (par exemple par croisement avec des bases de données en ligne) afin de vérifier l’identité du client ou du BE
-L’obtention d’informations supplémentaires sur la nature envisagée de la relation d’affaires, par exemple en interrogeant les clients sur leurs activités commerciales ou sur les pays ou territoires auxquels ils envisagent de transférer de la monnaie électronique
– L’obtention d’informations sur le commerçant/bénéficiaire, en particulier lorsque l’émetteur de monnaie électronique a des motifs de soupçonner que ses produits sont utilisés pour acheter des biens illicites ou soumis à une limite d’âge
– La mise en œuvre de contrôles contre la fraude à l’identité pour s’assurer que le client est bien la personne qu’il affirme être
– L’exercice d’un contrôle renforcé de la relation client et des transactions individuelles
– L’établissement de l’origine et/ou de la destination des fonds.
- Transactions n’impliquant pas la présence physique des parties, en l’absence de moyens d’identification électronique ou processus d’identification sécurisé :
« En cas de transactions qui n’impliquent pas la présence physique des parties et lorsque le professionnel n’a pas mis en place des moyens d’identification électronique, des services de confiance pertinents au sens du règlement (UE) n°910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées, les professionnels doivent se doter de dispositifs de gestion des risques spécifiques liés aux relations d’affaires ou aux transactions.
Ces politiques et procédures doivent s’appliquer lors de l’établissement de la relation d’affaires avec le client et lors de la mise en œuvre des mesures de vigilance constante ».
Les mesures spécifiques à adopter par le professionnel pour compenser le risque potentiellement plus élevé que présente ce type de relation peuvent notamment être :
«- des mesures garantissant que l’identité du client est établie au moyen de documents, données ou informations d’identification supplémentaires ;
– des mesures complémentaires assurant la vérification ou la certification par une autorité publique des documents fournis ;
– une attestation de confirmation de la part d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme
– des mesures garantissant que le premier paiement des opérations est effectué au moyen d’un compte ouvert au nom du client auprès d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme ».
Section 5. Exemples de mesures de vigilance renforcées à mettre en œuvre selon le Règlement n°12-02 de la CSSF :
« Sans préjudice des cas où des mesures de vigilance renforcées sont spécifiquement prescrites par la Loi, le Règlement grand-ducal ou le présent règlement, les mesures de vigilance renforcées qui peuvent être appliquées en fonction de l’évaluation des risques réalisée par le professionnel à des relations d’affaires présentant un risque plus élevé comprennent, par exemple:
- l’obtention d’informations supplémentaires sur le client et la mise à jour plus régulière des données d’identification du client et du bénéficiaire effectif ;
- l’obtention d’informations/ documents supplémentaires sur la nature envisagée de la relation d’affaires ou sur l’origine des fonds impliqués et du patrimoine ;
- l’obtention d’informations et, le cas échéant, d’éléments probants quant aux raisons et à l’arrière-fond économique des transactions envisagées ou réalisées et sur la plausibilité de ces transactions ;
- l’obtention de l’autorisation de la direction autorisée pour engager ou poursuivre la relation d’affaires ;
- la réalisation du premier paiement par l’intermédiaire d’un compte ouvert au nom du client auprès d’un autre professionnel assujetti à des normes de vigilance similaires ;
- la vérification auprès de sources indépendantes et fiables d’informations supplémentaires recueillies ;
- une visite du client/de la société ou une prise de contact avec le client/la société par courrier recommandé avec avis de réception ;
- la mise en œuvre d’une surveillance renforcée de la relation d’affaires par l’augmentation du nombre et de la fréquence des contrôles et la sélection des schémas de transactions qui nécessitent un examen plus approfondi ».
EXECUTION DES MESURES DE VIGILANCE
Section 1. Régime du « tiers introducteur »
« Aux fins du présent article, on entend par « tiers » les professionnels (…), les organisations ou fédérations membres de ces (professionnels), ou d’autres établissements ou personnes, situés dans un État membre ou un pays tiers :
a) qui appliquent à l’égard des clients des mesures de vigilance et de conservation des documents et pièces qui sont compatibles avec celles qui sont prévues dans la directive (UE) 2015/849 ;
b) qui sont soumis, pour ce qui concerne le respect des exigences de la présente loi, de la directive (UE) 2015/849 ou de règles équivalentes qui leur sont applicables, à une surveillance compatible avec (…) la directive (UE) 2015/849 ».
« Il est interdit aux professionnels de recourir à des tiers établis dans des pays à haut risque. Sont exemptées de cette interdiction les succursales et les filiales détenues majoritairement par des professionnels établis dans l’UE, si ces succursales et filiales détenues majoritairement respectent intégralement les politiques et procédures à l’échelle du groupe conformément à (…) la directive (UE) 2015/849 ».
(2) « Les professionnels peuvent recourir à des tiers pour l’exécution (…) (de certaines mesures de vigilance) à condition que l’obtention immédiate de la part du tiers auquel elles ont recours des informations (…) soit assurée. Toutefois, la responsabilité finale dans l’exécution de ces obligations continue d’incomber aux professionnels qui recourent à des tiers ».
« Les professionnels recourant à un tiers doivent prendre des mesures appropriées pour avoir l’assurance que ce tiers fournisse sans délai, sur demande, conformément au paragraphe (3), les documents nécessaires concernant les obligations de vigilance relatives à la clientèle prévues à l’article 3 (…), y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) n° 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées.
Les professionnels recourant à un tiers doivent également s’assurer que ce tiers est soumis à une réglementation, fait l’objet d’une surveillance, et qu’il a pris des mesures visant à respecter l’obligation de vigilance relative à la clientèle et aux obligations de conservation des documents, qui sont compatibles avec celles qui sont prévues aux articles 3 à 3-2 de la (…) Loi ».
(3) « Lorsqu’un tiers intervient aux fins du paragraphe 2 ci-dessus, celui-ci est tenu de mettre immédiatement à la disposition du professionnel auquel le client s’adresse, nonobstant toute règle de confidentialité ou de secret professionnel lui applicable le cas échéant, les informations demandées conformément aux obligations prévues à l’article 3, paragraphe 2, alinéa 1er, points a) à c) et alinéa 2. Dans ce cas, une copie adéquate des données d’identification et de vérification, y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées, et de tout autre document pertinent concernant l’identité du client ou du bénéficiaire effectif doit être transmise sans délai, sur demande, par le tiers au professionnel auquel le client s’adresse »
De plus, le professionnel doit s’assurer que les tiers introducteurs répondent aux prescriptions de la Loi.
Tout professionnel recourant à un tiers introducteur doit s’assurer préalablement à l’intervention de celui-ci qu’il répond à la qualité de tiers introducteur selon les termes de la Loi. a documentation ayant servi à la vérification de la qualité du tiers introducteur doit être conservée en conformité avec la Loi.
Le tiers introducteur s’engage préalablement, par écrit, à remplir les obligations telles que précisées à l’article 3-3, para. (2) de la Loi, nonobstant toute règle de confidentialité ou de secret professionnel applicable au tiers introducteur le cas échéant.
La responsabilité quant au respect de ses obligations professionnelles prévues par le dispositif légal applicable, y inclus du présent règlement, continue d’incomber au professionnel recourant au tiers introducteur.
Si le professionnel fait appel à un tiers qui appartient au groupe, les exigences supra eu égard aux tiers seront considérées comme respectées si :
« a) les professionnels se fondent sur les informations fournies par un tiers qui fait partie du même groupe ;
b) ce groupe applique des mesures de vigilance à l’égard de la clientèle, des règles relatives à la conservation des documents et pièces et des programmes de lutte contre le blanchiment et contre le financement du terrorisme conformément à la Loi , à la directive (UE) 2015/849 ou à des règles équivalentes ;
c) la mise en œuvre effective des obligations visées au point b) est surveillée au niveau du groupe par une autorité de contrôle, un organisme d’autorégulation ou un de leurs homologues étrangers ;
d) tout risque lié à un pays à haut risque est atténué de manière satisfaisante(…) ».
Concernant les fonds, les orientations communes de l’ALFI et de l’ABBL visant à réduire les risques de blanchiment et de financement du terrorisme dans l’industrie des fonds[1] évoquent les obligations respectives des parties dans le cadre du recours au tiers introducteur (“third party introducer“)
– l’OPC/IFM – investment fund manager (« the responsible entity » selon les orientations) peut s’appuyer sur un tiers répondant aux exigences de la Loi (art. 3-3) et du Règlement CSSF 12-02 (art.36),-qui aura préalablement vérifié l’identité d’un prospect/client (son mandataire le cas échéant)/BE de l’OPC. Le client ainsi introduit devient investisseur direct dans l’OPC. L’OPC reste néanmoins toujours responsable des obligations de vigilance à l’égard de la clientèle qui lui incombent.
[1] Voy. “Practices and recommendations aimed at reducing the risk of money laundering and terrorist financing in the Luxembourg Fund Industry” (p.21-22). Ce guide a été mis à jour en mai 2021 et contient de nouvelles recommandations pour les acteurs fonds notamment sur les aspects « Know your assets » (KYA).
Section 2. Externalisation et relation d’agence
« Le contrat entre le professionnel et le tiers délégué intervenant dans le cadre d’une relation d’externalisation ou d’agence (…) doit inclure, au minimum :
- une description détaillée des mesures de vigilance et procédures à mettre en œuvre, dans le respect de la Loi et du présent règlement et, en particulier, des informations et documents à réclamer et à vérifier par le tiers délégué (prestataire de services en cas d’externalisation ou agent dans le cas d’une relation d’agence);
- les conditions relatives à la transmission des informations au professionnel, dont notamment la mise à disposition immédiate, sans opposition de règles de confidentialité ou de secret professionnel ou d’autres obstacles quelconques, des informations recueillies dans le cadre de l’accomplissement des obligations de vigilance à l’égard de la clientèle, et la transmission, sur demande et sans délai, d’une copie ou des originaux des documents probants obtenus à cet égard ».
« (2) Les politiques relatives à l’externalisation et à la relation d’agence ainsi que les procédures internes du professionnel souhaitant recourir à des tiers délégués doivent notamment contenir des dispositions détaillées sur le processus de sélection et d’évaluation des tiers délégués, y compris des sous-traitants à différents niveaux, en cas d’externalisation en cascade. En particulier, le professionnel doit s’assurer que le prestataire de services a les ressources nécessaires pour effectuer l’ensemble des fonctions externalisées (processus, service ou activité externalisé(e)).
Les professionnels doivent effectuer un contrôle régulier du respect par le tiers délégué de ses engagements découlant du contrat. En fonction de l’approche fondée sur les risques, le contrôle régulier vise le fait pour le professionnel de se donner les moyens de tester (par exemple via échantillonnage) et de contrôler de manière régulière et ponctuelle (par exemple en effectuant des visites sur place) le respect des obligations qui incombent au tiers délégué. En ce qui concerne les données de ses clients, le professionnel et la CSSF doivent avoir les droits d’accès aux systèmes/bases de données du tiers délégué ».
« (2bis) Une évaluation des risques par rapport aux fonctions externalisées et, le cas échéant, de la chaîne d’externalisation doit avoir été réalisée avant la conclusion du contrat d’externalisation (…) ».
« (3) La responsabilité quant au respect des dispositions de la Loi, du Règlement grand-ducal ainsi que du présent règlement continue d’incomber au professionnel recourant au tiers délégué et au tiers sous délégué, le cas échéant ».
« (4) Dans le cadre de l’externalisation de fonctions en matière de LBC/CFT, les droits et obligations du professionnel et du prestataire de services ainsi que leurs rôles, responsabilités et tâches doivent être clairement énumérés, répartis et définis dans le contrat d’externalisation. (…) »
OBLIGATIONS SIMPLIFIÉES DE VIGILANCE A L’EGARD DE LA CLIENTÈLE
Section 1 : le risque de blanchiment moins élevé tel que visé par la Loi
« Lorsque les professionnels identifient un risque de blanchiment et de financement du terrorisme moins élevé, ils peuvent appliquer des mesures simplifiées de vigilance à l’égard de la clientèle.»
1.1 Situation de risque moins élevé
Lorsqu’ils évaluent les risques de blanchiment et de financement du terrorisme liés à certains types de clients, de zones géographiques et à des produits, services, transactions ou canaux de distribution particuliers, les professionnels tiennent compte au minimum des facteurs de situations de risque potentiellement moins élevé énoncés à l’annexe III (de la Loi ) »
L’application de mesures de vigilance simplifiées doit être basée sur une évaluation des risques attestant d’un risque faible.
Les facteurs de risque repris dans l’annexe ont déjà été mentionnés supra (client/produit/pays), le professionnel retiendra notamment un risque faible :
– (i) géographique : si situation/critères impliquent des États membres, un client originaire d’un État membre, pays tiers présentant un faible risque de corruption/ des systèmes efficaces LBC/FT.
– (ii) produits/services/transactions/canaux de distribution :
Une liste non exhaustive comprenant par exemple : les polices d’assurance vie à prime faible, contrats d’assurance retraite sans clause de rachat anticipé, les régimes de retraite en faveur des salariés, produits ou services financiers utilisés à des fins d’inclusions, produits présentant un risque fable de blanchiment ou financement du terrorisme qui sont contrôlés par d’autres facteurs tels que des limites ou la transparence en matière de propriété.
– (iii) clients : sociétés cotées sur un marché réglementé et soumises à des obligations d’information (en ce inclus une transparence des bénéficiaires effectifs), administrations/entreprises publiques, critères de résidence.
Quant à la monnaie électronique :
« (…) sur la base d’une évaluation des risques appropriée attestant de la faiblesse du risque, les professionnels sont autorisés à ne pas appliquer certaines mesures de vigilance à l’égard de la clientèle pour la monnaie électronique si toutes les conditions d’atténuation du risque suivantes sont remplies :
a) il n’est pas possible de recharger l’instrument de paiement, ou l’instrument est assorti d’une limite maximale mensuelle de 150 euros pour les opérations de paiement utilisable uniquement au Luxembourg ;
b) le montant maximal stocké sur un support électronique n’excède pas 150 euros.
c) l’instrument de paiement est utilisé exclusivement pour l’achat de biens ou de services ;
d) l’instrument de paiement ne peut être crédité au moyen de monnaie électronique anonyme
e) l’émetteur exerce un contrôle suffisant des transactions ou de la relation d’affaires pour être en mesure de détecter toute transaction inhabituelle ou suspecte.
La dérogation prévue à l’alinéa 1er n’est pas applicable en cas de remboursement en espèces ou de retrait d’espèces de la valeur monétaire de la monnaie électronique lorsque le montant remboursé est supérieur à 50 euros ou en cas d’opérations de paiement à distance au sens de l’article 4, point 6), de la directive (UE) 2015/2366 (…) lorsque le montant payé est supérieur à 50 euros par transaction ».
« Les établissements de crédit et les établissements financiers agissant comme acquéreurs acceptent uniquement les paiements effectués au moyen de cartes prépayées anonymes émises dans des pays tiers où de telles cartes répondent à des exigences équivalentes à celles énoncées aux alinéas 1ers et 2 ».
« En présence d’informations donnant à penser que le degré de risque n’est pas moins élevé, ou dès lors qu’il y a soupçon de blanchiment ou de financement du terrorisme ou lorsqu’il y a doute concernant la véracité ou la pertinence de données précédemment obtenues ou dans des cas spécifiques de risques plus élevés, l’application du présent régime des obligations simplifiées de vigilance n’est pas possible à ces clients, zones géographiques, produits, services, transactions ou canaux de distribution particuliers ».
Ainsi, le professionnel veille à ne pas appliquer une vigilance simplifiée s’il soupçonne un blanchiment/financement de terrorisme, même en présence de facteurs supposés impliquer des risques moins élevés.
1.2 Mesures de vigilance
Selon le GAFI, les institutions financières peuvent être autorisées à appliquer des mesures de vigilance simplifiées tenant compte de la nature de risques plus faibles.
Les mesures préconisées par le GAFI peuvent ainsi consister à vérifier l’identité du client/BE après l’établissement de la relation d’affaires, réduire la fréquence des mises à jour des éléments d’identification du client et l’intensité de la vigilance constante ou encore déduire l’objet et la nature envisagée de la relation d’affaires du type d’opération effectué.
« Lorsque les professionnels identifient un risque de blanchiment et de financement du terrorisme moins élevé, ils peuvent appliquer des mesures simplifiées de vigilance à l’égard de la clientèle.
(2) Avant d’appliquer des mesures simplifiées de vigilance à l’égard de la clientèle, les professionnels s’assurent que la relation d’affaires ou la transaction présente un degré de risque moins élevé.
Section 2 : Suggestions de mesures de vigilance simplifiées
Selon le Règlement CSSF n°12-02 :
Le Règlement CSSF n°20-05 énonce les mesures que le professionnel peut appliquer dans le cadre d’une relation d’affaires présentant un risque faible justifié :
- Pour les clients soumis à un régime d’autorisation/d’agrément ou d’enregistrement obligatoire à des fins de LBC/FT, vérifier que le client est soumis à ce régime, par exemple en effectuant une recherche sur le site officiel du régulateur et en documentant le résultat de la recherche
- La présomption qu’un paiement débité d’un compte détenu au nom du client, à titre individuel ou joint, auprès d’un établissement de crédit ou d’un établissement financier réglementé dans un pays de l’espace économique européen ou un pays tiers imposant des obligations LBC/FT équivalentes, remplit les exigences prévues à l’article 3 paragraphe 2, alinéa 1, point a) de la Loi
- L’acceptation exceptionnelle d’autres formes de pièce d’identité répondant aux critères de sources fiable et indépendante, par exemple une lettre adressée au client par un organisme gouvernemental ou autre organe public fiable, lorsque le client est dans l’impossibilité de fournir les justificatifs d’identité habituels, et pour autant qu’il n’y ait pas de motif de suspicion
- La mise à jour des informations relatives aux mesures de vigilance à l’égard de la clientèle uniquement dans le cas de certains événements déclencheurs, par exemple si le client demande un produit ou service nouveau ou plus risqué, ou en cas de changements dans le comportement ou le profil de transaction du client qui semblent indiquer que le risque associé à la relation n’est plus faible ;
- Pour les personnes prétendant agir pour compte du client et pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement, l’obtention de l’information sur le pays de résidence de ces personnes au lieu de demander l’adresse postale complète ;
- Pour les personnes prétendant agir pour compte d’un client où le client est un établissement de crédit ou financier régulé, au lieu de demander l’identification complète de ces personnes, l’obtention d’une lettre confirmant que l’établissement a appliqué à ces personnes des mesures de vigilance et qu’il a effectué un contrôle régulier de ces personnes par rapport aux listes applicables de mesures restrictives en matière financière.
Les mesures de vigilance simplifiées selon les autorités de surveillance européennes :
Les orientations finales sur les facteurs de risque du comité mixte des Autorités européennes de supervision contiennent aussi des mesures de vigilance simplifiées que le professionnel peut appliquer, génériques et spécifiques selon les secteurs d’activité concernés.
2.1 Mesures de vigilance simplifiées « génériques »
Les mesures prônées par le comité mixte des autorités européennes concernant la vigilance simplifiée reposent sur l’adaptation. L’adaptation tant du moment choisi pour appliquer les mesures de vigilance que de la quantité d’informations obtenues aux fins d’identification ou de leur qualité/source, ou encore de la fréquence du contrôle des transactions.
Le professionnel appliquera à discrétion les mesures retenues par les orientations selon les cas de figure.
- Adaptation du moment choisi pour appliquer les mesures de vigilance :
(i) en vérifiant l’identité du client ou du BE pendant l’établissement de la relation d’affaires; ou
(ii) en vérifiant l’identité du client ou du BE dès que les transactions dépassent un seuil déterminé ou dès qu’un délai raisonnable s’est écoulé.
Le professionnel doit s’assurer:
a- que cela n’entraîne pas une exemption de facto des mesures de vigilance à l’égard de la clientèle
b- que le seuil ou le délai est fixé à un niveau raisonnablement faible/court (toutefois, en ce qui concerne le financement du terrorisme, les établissements devraient noter qu’un seuil bas pourrait à lui seul ne pas être suffisant pour réduire le risque)
c- qu’ils disposent de systèmes permettant de détecter quand le seuil ou la date limite est atteinte et
d- qu’ils ne reportent pas les mesures de vigilance à l’égard de la clientèle et ne retardent pas l’obtention d’informations pertinentes concernant le client lorsque la législation applicable, par exemple le règlement (UE) 2015/847, ou les dispositions du droit national exigent que ces informations soient obtenues dès le début.
- Adaptation de la quantité d’informations :
(i) en vérifiant l’identité sur la base des informations obtenues à partir d’un seul document ou d’une seule source de données fiable, crédible et indépendante; ou
(ii) en présumant la nature et l’objet de la relation d’affaires en raison du fait que le produit est conçu exclusivement pour un usage bien précis, tel qu’un régime de retraite d’entreprise ou une carte cadeau d’un centre commercial.
- Adapter la fréquence des mises à jour des mesures de vigilance à l’égard de la clientèle et des réexamens de la relation d’affaires, par exemple en les réalisant uniquement lors de la survenue d’événements déclencheurs, notamment lorsque le client souhaite souscrire un nouveau produit ou service ou qu’un certain seuil de transactions est atteint.
- Adapter la fréquence et l’intensité du contrôle des transactions, par exemple en contrôlant les transactions au-delà d’un certain seuil uniquement.
- Adapter la qualité ou la source des informations obtenues pour l’identification et la vérification de l’identité et la vigilance continue :
- En acceptant les informations obtenues du client plutôt que d’une source indépendante lors de la vérification de l’identité du bénéficiaire effectif
- En se fondant sur l’origine des fonds pour répondre à certaines obligations de vigilance, notamment lorsque les fonds proviennent de versements d’avantages sociaux ou lorsque les fonds ont été transférés d’un compte au nom du client d’un établissement situé dans l’EEE
2.2 Mesures de vigilance simplifiées par secteur d’activité
Tout comme pour l’évaluation des risques par secteurs d’activités, les orientations du comité mixte donnent des indications quant aux mesures de vigilance simplifiées à appliquer. Quelques exemples sont donnés ci-dessous, mais le professionnel est invité à consulter les orientations pour plus de détails.
- Banque de détail :
- Clients faisant l’objet d’un régime d’inscription ou d’autorisation obligatoire : vérifier l’identité sur la base de preuves attestant que le client est soumis à ce régime (recherche dans le registre public du régulateur)
- Vérification de l’identité du client et, le cas échéant, du BE pendant l’établissement de la relation d’affaires
- Acceptation d’autres formes d’identité répondant au critère de source “fiable et indépendante”, par ex. une lettre adressée au client par un organisme gouvernemental ou autre organe public fiable, lorsque le client n’est pas en mesure, pour des motifs raisonnables avérés, de fournir les justificatifs d’identité habituels, et pour autant qu’il n’y ait pas de motif de suspicion
- Gestion patrimoniale/Banque privée :
Le Comité mixte des autorités de surveillance européenne estime que les mesures de vigilance simplifiées ne sont pas appropriées dans le cadre de la gestion de patrimoine.Néanmoins, tout professionnel sera toujours en présence d’une série de critères de risque liés à son client qu’il appréciera au cas par cas dans son activité de banquier privé.
- Émission de monnaie électronique et services de paiement :
- Report de la vérification de l’identité du client ou du BE à une date ultérieure à l’établissement de la relation ou après le dépassement d’un certain seuil monétaire (faible)
- Vérification de l’identité du client sur la base d’un paiement débité d’un compte détenu au nom du client, à titre individuel ou joint, ou sur un compte sur lequel le client exerce un contrôle avéré auprès d’un établissement de crédit ou d’un établissement financier réglementé de l’EEE
- Vérification de l’identité à partir d’un moins grand nombre de sources, de sources moins fiables
- Présomption de la nature et de l’objet envisagé de la relation d’affaires lorsque ceux-ci sont évidents, par exemple dans le cas de certaines cartes cadeaux qui ne relèvent pas de l’exemption en circuit fermé/réseau fermé
- Réduction de l’intensité des contrôles tant qu’un certain seuil monétaire n’est pas atteint.
OBLIGATIONS D’ORGANISATION INTERNE ADÉQUATE
Section 1. Obligation d’instaurer des procédures écrites de contrôle interne et de communication
« Les professionnels doivent mettre en place des politiques, contrôles et procédures pour atténuer et gérer efficacement les risques de blanchiment et de financement du terrorisme identifiés au niveau international, européen, national sectoriel et du professionnel lui-même. Ces politiques, contrôles et procédures, qui prennent en compte les risques de blanchiment et de financement du terrorisme, doivent être proportionnées à la nature, aux particularités et à la taille des professionnels.
Les politiques, contrôles et procédures comprennent :
a) L’élaboration de politiques, de contrôles et de procédures internes, y compris les modèles en matière de gestion des risques, la vigilance à l’égard de la clientèle, la coopération, la conservation des documents et pièces, le contrôle interne, la gestion du respect des obligations y compris la nomination, au niveau hiérarchique approprié, d’un responsable de contrôle du respect des obligations et la sélection du personnel ;
b) Lorsque cela est approprié eu égard à la taille et à la nature des activités et aux risques de blanchiment et de financement du terrorisme, une fonction d’audit indépendante chargée de tester les politiques, contrôles et procédures visées au point a). (…)
Les professionnels désignent, le cas échéant, parmi les membres de leur organe de gestion ou de leur direction effective la personne responsable du respect des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme ».
« Le dispositif de contrôle interne (…) est convenablement doté en ressources afin de vérifier le respect, y compris par sondage, des procédures, politiques et mesures de contrôle ainsi que bénéficier de l’indépendance adéquate pour l’exercice de sa mission.
Le responsable du contrôle du respect des obligations et les autres membres du personnel concerné ont accès en temps voulu aux données d’identification des clients et à d’autres renseignements relevant des mesures de vigilance, aux pièces relatives aux transactions et aux autres renseignements pertinents. Le responsable du contrôle du respect des obligations doit pouvoir agir de façon indépendante et rendre compte à la direction, sans passer par son supérieur hiérarchique immédiat, ou au conseil d’administration (…) ».
Le responsable du contrôle du respect des obligations LBC/FT rapporte par écrit, règulièrement et si nécessaire sur une base ad hoc au responsable du respect à la direction autorisée et, le cas échéant, au conseil d’administration (ou aux comités spécialisés).
Ces rapports portent sur le suivi des recommandations, des problèmes, déficiences et irrégularités relevés par le passé ainsi que sur les nouveaux problèmes, déficiences et irrégularités identifiés. Chaque rapport spécifie les risques y liés ainsi que leur degré de gravité (mesure de l’impact) et propose des mesures correctrices (…). Ces rapports doivent permettre d’évaluer l’ampleur des soupçons ou des motifs raisonnables de soupçon de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme qui ont été détectés, et d’émettre un jugement sur l’adéquation des politiques, procédures et systèmes LBC/FT et de la collaboration des services du professionnel à la LBC/FT.
Le contrôle des politiques et des procédures LBC/FT doit faire partie intégrante des missions de la fonction d’audit interne du professionnel. A cette fin, l’audit interne doit tester et évaluer de manière indépendante la gestion et le contrôle des risques, les politiques et procédures LBC/FT.
L’audit interne doit rendre compte annuellement à la direction autorisée et au conseil d’administration (ou aux comités spécialisés) et soumettre un rapport de synthèse sur le respect de la conformité aux politiques et procédures LBC/FT. Il doit faire preuve de diligence en veillant à ce que ces recommandations ou mesures correctrices soient suivies d’effet.
Le règlement CSSF n°12-02 énonce quelques exemples de procédures eu égard à la politique LBC/FT du professionnel.
«Les politiques et procédures LBC/FT du professionnel doivent viser toutes ses obligations professionnelles et doivent comprendre, le cas échéant, notamment :
– la politique d’acceptation des clients (…)
– le détail des procédures quant à l’identification, l’évaluation, la surveillance, la gestion et l’atténuation des risques de blanchiment ou de financement du terrorisme (…). Ces procédures doivent permettre de suivre l’évolution des risques identifiés, de les réévaluer régulièrement et d’identifier toute modification significative les affectant ou tout nouveau risque
– les dispositifs de gestion des risques spécifiques liés aux relations d’affaires ou aux transactions n’impliquant pas la présence physique des parties sans que d’autres garanties aient été mises en place (telles que visées à l’article 27 du règlement CSSF n°12-02)
– les mesures destinées à empêcher l’utilisation abusive de produits ou la réalisation de transactions favorisant l’anonymat (…), notamment dans le domaine des technologies nouvelles
– les procédures à suivre en cas de demande d’entrée en relation d’affaires ou de demande d’effectuer une transaction occasionnelle pour une personne dont l’activité́ normale implique la conservation de fonds de tiers auprès d’un professionnel respectivement l’ouverture d’un compte groupé
– la procédure d’acceptation et de suivi des relations d’affaires (…)
– les procédures à suivre en cas de recours à un tiers introducteur (…)
– les procédures à suivre en cas de recours à des tiers délégués intervenant dans le cadre d’un contrat d’externalisation ou d’agence (…)
– les procédures à respecter afin de suivre l’évolution des relations d’affaires ainsi que des transactions effectuées pour les clients, en vue, notamment, de la détection de transactions suspectes
– les procédures à suivre en cas de soupçon ou de motifs raisonnables de soupçons ou de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme
(…)
– les procédures à suivre afin de respecter les obligations contenues dans le règlement (UE) 2015/847 (transferts de fonds)
– la politique de sélection du personnel garantissant le recrutement des employés selon des critères exigeants, le programme de formation et de sensibilisation du personnel (…)
– la définition exacte des responsabilités respectives des diverses fonctions au sein du personnel en matière de LBC/FT, ainsi que la procédure de nomination du responsable du contrôle et du responsable du respect .
– la procédure permettant de signaler en interne les violations des obligations professionnelles en matière de LBC/FT par une voie spécifique, indépendante et anonyme
– les procédures en matière de mesures restrictives financières
– les procédures à suivre en cas d’identification du bénéficiaire de fiducies, trusts ou constructions juridiques similaires au moment du versement des prestations ou au moment où le bénéficiaire exerce ses droits acquis (…)
Les mesures relatives aux dispositifs de surveillance des relations d’affaires et des transactions telles qu’incluses dans le Règlement CSSF n°12-02 sont renseignées supra.
Section 2. Obligation de former et de sensibiliser le personnel
« Les professionnels sont tenus de prendre des mesures proportionnées à leurs risques, à leur nature et à leur taille, afin que leurs employés, y inclus les membres des organes de gestion et de la direction effective, aient connaissance des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme, ainsi que des exigences applicables en matière de protection des données. Ces mesures comprennent la participation de leurs employés à des programmes spéciaux de formation continue visant à les tenir informés des nouvelles évolutions, y compris des informations sur les techniques, méthodes et tendances de blanchiment et de financement du terrorisme, à les aider à reconnaitre les opérations susceptibles d’être liées au blanchiment ou au financement du terrorisme et à les instruire à la manière de procéder en pareil cas. Les programmes spéciaux de formation continue fournissent aux employés des explications claires sur tous les aspects des lois et obligations en matière de lutte contre le blanchiment et contre le financement du terrorisme et notamment des obligations relatives au devoir de vigilance vis-à-vis de la clientèle et de déclaration des opérations suspectes. (…) ».
« Chaque professionnel est tenu de disposer d’un programme de formation et de sensibilisation pour l’ensemble de son personnel répondant à des critères qualitatifs élevés et dont le contenu et le calendrier tiennent compte des nécessités spécifiques du professionnel. Ce programme, ainsi que sa réalisation, doivent être documentés par écrit. Le programme doit tenir compte de l’évolution des techniques du blanchiment et de financement du terrorisme et doit être adapté lors d’un changement des exigences légales ou réglementaires en la matière.
Art. 46, para. (2) du Règlement CSSF n°12-02
« embauche, formation et sensibilisation du personnel »
Le programme de formation et de sensibilisation du personnel doit comporter, notamment :
- pour les employés nouvellement recrutés, dès leur embauche, la participation à une formation interne ou externe de base, les sensibilisant à la politique de LBC/FT du professionnel ainsi qu’aux exigences légales et réglementaires en la matière
- pour l’ensemble du personnel, la participation régulière à des formations internes ou externes continues, et s’adressant en particulier aux membres du personnel en contact direct avec la clientèle afin de les aider à détecter les transactions inhabituelles et à reconnaître les tentatives de blanchiment ou de financement du terrorisme. Ces formations continues doivent également porter sur les procédures internes du professionnel à suivre par le personnel en cas de détection d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme
- des réunions d’information régulières pour les employés afin de les tenir au courant des évolutions quant aux techniques, méthodes et tendances de blanchiment et de financement du terrorisme ainsi qu’aux règles et procédures préventives à respecter en la matière
- la désignation d’une ou plusieurs personnes de contact pour les employés, compétentes et disponibles pour répondre à toute question ayant trait au blanchiment ou au financement du terrorisme, et pouvant porter, notamment, sur tous les aspects des lois et obligations en matière de LBC/FT, sur les procédures internes, les devoirs de vigilance auprès de la clientèle et de déclaration d’opérations suspectes
- la diffusion périodique d’une documentation de LBC/FT, citant notamment des exemples d’opérations de blanchiment ou de financement du terrorisme ».
Dans le cadre d’un programme de formation élaboré à l’étranger et délivré par exemple par le siège ou la maison mère du professionnel, ce dernier est tenu d’adapter le programme aux normes applicables au Luxembourg.
Les rapports d’activité de la CRF contiennent de nombreuses études de cas non exhaustifs mais ayant donné lieu à des déclarations de soupçon de la part des professionnels soumis, présentant des caractéristiques différentes (techniques, mécanismes et instruments) rencontrées fréquemment par la CRF lors de ses analyses.
Section 3. Signalement interne des violations des obligations professionnelles
« Les professionnels doivent mettre en place des procédures appropriées, proportionnées à leur nature et à leur taille, permettant à leur personnel ou aux personnes se trouvant dans une situation comparable de signaler en interne les violations des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme par une voie spécifique, indépendante et anonyme ».
La 5ème directive anti-blanchiment impose aux États membres de « faire en sorte que les personnes, y compris les employés et les représentants de l’entité́ assujettie qui signalent, en interne ou à la CRF, un soupçon de blanchiment de capitaux ou de financement du terrorisme, bénéficient d’une protection légale contre toute menace, mesure de représailles ou acte hostile, et en particulier contre toute mesure préjudiciable ou discriminatoire en matière d’emploi ».
De plus, ils « veillent à ce que les personnes exposées à des menaces, à des mesures de représailles ou à des actes hostiles, ou à des mesures préjudiciables ou discriminatoires en matière d’emploi pour avoir signalé́ un soupçon de blanchiment de capitaux ou de financement du terrorisme, en interne ou à la CRF, aient le droit de déposer, en toute sécurité́, une réclamation auprès des autorités compétentes respectives.(…) ».
Section 4. Obligation de disposer de systèmes permettant de répondre aux autorités
« Les professionnels sont tenus de disposer de systèmes leur permettant de répondre de manière rapide et complète à toute demande d’informations des autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme et des organismes d’autorégulation, tendant à déterminer s’ils entretiennent ou ont entretenu au cours des cinq années précédentes une relation d’affaires avec une personne physique ou morale donnée, et quelle est ou a été la nature de cette relation, par l’intermédiaire de canaux sécurisés et d’une manière garantissant la confidentialité́ totale des demandes d’informations ».
« (…) les professionnels doivent être en mesure de répondre rapidement et de façon complète aux demandes d’information de la part des autorités luxembourgeoises responsables de la LBC/FT, et notamment celles tendant à déterminer s’ils entretiennent ou ont entretenu des relations d’affaires ou s’ils effectuent ou ont effectué des transactions en relation avec des personnes données (…).
Cette obligation de coopération ne cesse pas avec la fin de la relation d’affaires ou de la transaction ».
De même, la ligne directrice de la CRF (DOS) oblige le professionnel à répondre, « sans délai, à une demande d’information de la CRF en utilisant les formulaires « retour d’information », avec ou sans transactions, disponibles sur goAML Web. (Le professionnel) peut les remplir en ligne ou télécharger un XML (…). Si (le professionnel) n’est pas encore inscrit comme déclarant, il faudra (s’)inscrire préalablement pour pouvoir répondre à la demande d’information.
Suivant la complexité et l’étendue des recherches, (le professionnel) devrait répondre à toute demande d’information de la CRF endéans la quinzaine. Toutefois, si une demande d’information est qualifiée de « très urgente», notamment en matière de financement du terrorisme, (le professionnel) devrait y répondre endéans les 24 heures. Une demande d’information qualifiée d’« urgente » devrait être traitée dans la semaine ».
OBLIGATION DE COOPÉRATION AVEC LES AUTORITÉS
I) « Les professionnels, leurs dirigeants et employés sont tenus de coopérer pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en particulier dans le cadre de l’exercice de leurs pouvoirs de surveillance (…) ».
Sans préjudice des obligations leur incombant à l’égard des autorités de contrôle ou des organismes d’autorégulation, les professionnels, leurs dirigeants et employés sont tenus :
a) d’informer sans délai, de leur propre initiative la cellule de renseignement financier lorsqu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération. Cette déclaration devra être accompagnée de toutes les informations et pièces qui ont motivé la déclaration.
Toutes les opérations suspectes, y compris les tentatives d’opérations suspectes doivent être déclarées, quel que soit leur montant.
L’obligation de déclaration des opérations suspectes s’applique sans que les déclarants ne qualifient l’infraction sous-jacente.
(b) de fournir sans délai à la cellule de renseignement financier, à sa demande, toutes les informations requises. Cette information comprend notamment la transmission des pièces sur lesquelles les informations sont fondées (…) ».
(I bis) Concernant la lutte contre le financement du terrorisme, l’obligation de déclaration des opérations suspectes (…) s’applique aussi aux fonds pour lesquels il existe des motifs raisonnables de soupçonner ou dont on soupçonne qu’ils sont liés ou en rapport avec ou qu’ils vont servir au terrorisme, à des actes terroristes, à un terroriste ou à des groupes terroristes ou à ceux qui financent le terrorisme ».
« L’obligation d’informer sans délai la CRF(…) couvre également le cas où le professionnel est entré en contact avec une personne physique ou morale, ou une construction juridique sans qu’une relation d’affaires ait été nouée ou qu’une transaction ait été effectuée, pour autant qu’il y a des soupçons ou des motifs raisonnables de soupçon de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme.
(2) Le professionnel doit se donner les moyens requis en termes de procédures et d’organisation de la fonction du responsable du contrôle de la LBC/FT permettant de procéder à une analyse des rapports qui lui sont transmis et de déterminer s’il y a lieu de procéder à la communication d’un fait ou d’une transaction à la CRF (…). A cette fin, le professionnel doit s’enregistrer dans l’outil mis en place par la CRF. Les procédures doivent prévoir les conditions, les délais et les étapes de la communication des rapports par le chargé de clientèle au responsable du contrôle. L’analyse et la décision en résultant doivent être conservées par écrit et tenues à la disposition des autorités compétentes.
(3) (…) une relation d’affaires qui a fait l’objet d’une déclaration de soupçon auprès de la CRF, doit être suivie par le professionnel avec une vigilance accrue et, le cas échéant, en ligne avec les instructions de la CRF. En cas d’indices nouveaux, les professionnels procèdent à une déclaration d’opérations suspectes complémentaire ».
QUE FAIRE …. Le professionnel doit-il qualifier l’infraction sous-jacente ?
Il n’y a pas d’obligation pour le professionnel de rechercher activement des faits de blanchiment, ni de rechercher si ceux-ci sont suffisamment concluants pour servir de fondement à une enquête, ni de qualifier pénalement les faits, ni d’en prouver l’exactitude, cette tâche revenant aux autorités judiciaires compétentes.
La loi du 10 août 2018 a modifié les termes de la Loi (de 2004) et introduit l’obligation d’information par le professionnel à la CRF notamment lorsqu’il a des motifs raisonnables de soupçonner qu’un blanchiment ou une infraction sous-jacente est en cours/tenté/ a eu lieu.
La notion de « soupçon, ses origines, exemples (…) » est renseignée dans le point 4 (« du soupçon à la déclaration d’opération suspecte »). Section 1, chap. 1 du Vade-Mecum.
Lorsque (…) le professionnel a un doute quant à l’identité réelle du bénéficiaire effectif et lorsqu’il n’arrive pas à lever ce doute, il refusera de nouer la relation d’affaires ou d’effectuer la transaction souhaitée par le client et, lorsqu’il sait, soupçonne ou a des motifs raisonnable de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu ou a été tenté, il procédera à une déclaration (au Parquet) en conformité avec l’article 5 para. (1) et (1 bis) de la Loi (…) ».
« Le secret professionnel n’est pas applicable à l’égard de la cellule de renseignement financier concernant le paragraphe (1), le paragraphe (1bis) et le paragraphe (3) ».
« les pays devraient s’assurer que les lois sur le secret professionnel des institutions financières n’entravent pas la mise en œuvre des recommandations du GAFI ».
– Règles de la non-exécution de la transaction suspecte et de « No tipping off » (zéro fuite)
« Les professionnels sont tenus de s’abstenir d’exécuter toute transaction qu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner d’être liée à un blanchiment, à une infraction sous-jacente associée, ou à un financement du terrorisme avant d’en avoir informé́ la Cellule de renseignement financier conformément (…) et de s’être conformés à toute instruction particulière émanant de la Cellule de renseignement financier. La Cellule de renseignement financier peut donner l’instruction de ne pas exécuter les opérations en rapport avec la transaction ou avec le client.
Lorsqu’il n’est pas possible de s’abstenir d’exécuter une transaction (…) ou lorsque cela est susceptible d’entraver les efforts déployés pour poursuivre les bénéficiaires d’une opération suspecte, les professionnels concernés en informent ensuite sans délai la Cellule de renseignement financier.
En cas d’instruction verbale, cette communication doit être suivie dans les trois jours ouvrables d’une confirmation écrite. A défaut de confirmation écrite, les effets de l’instruction cessent le troisième jour ouvrable à minuit.
Le professionnel n’est pas autorisé́ à faire état de cette instruction à l’égard du client sans le consentement exprès préalable de la Cellule de renseignement financier.
La Cellule de renseignement financier peut ordonner d’office et à tout moment la mainlevée totale ou partielle de l’ordre de ne pas exécuter des opérations en vertu du de l’alinéa 1er ».
Les demandes d’information potentielles de la CRF eu égard aux DOS ainsi que les règles d’abstention d’exécution et de « no tipping off » eu égard aux transactions suspectes « sont applicables même en l’absence d’une déclaration d’opération suspecte formulée par le professionnel ».
« La décision de blocage de la CRF peut intervenir à tout moment.
Au risque de rendre inopérante la faculté de blocage de la CRF, (le professionnel ne doit) pas exécuter une transaction qu’(il sait) ou qu’(il soupçonne) d’être liée à un blanchiment, à une infraction sous-jacente associée ou un financement du terrorisme tant qu’il n’a pas informé la CRF par une déclaration d’opérations suspectes ou par une réponse à une demande d’information reçue. Un accusé de réception (des) déclarations (du professionnel) et des réponses (du professionnel) à une demande d’information est généré par goAML Web et est envoyé (au professionnel) via le message board, chaque jour vers minuit.
A partir de ce moment, tant que (le professionnel n’a) pas reçu une décision de blocage de la CRF, (il) peut exécuter, sous (sa) responsabilité́, les transactions visées dans (ses) communications ainsi que toute autre transaction subséquente non suspecte ».
Étant entendu que la CRF reçoit un nombre croissant de déclarations d’opérations suspectes (DOS) depuis dix ans (38744 en 2017), elle ne peut systématiquement donner un retour au professionnel qui lui a soumis une DOS.
« Les professionnels ainsi que leurs dirigeants et employés ne peuvent pas révéler au client concerné ou à des personnes tierces que des informations sont, seront ou ont été́ communiquées ou fournies aux autorités (…) ou qu’une enquête de la CRF sur le blanchiment ou le financement du terrorisme est en cours ou pourrait être ouverte :
Cette interdiction ne s’applique pas à une divulgation aux autorités « de contrôle » ou, le cas échéant, aux organismes d’autorégulation respectifs des différents professionnels. Elle ne s’applique également pas dans un contexte intra-groupe sous réserve du respect des conditions exposées à la section 2.3 ci-dessus.
(…)
En ce qui concerne les établissements de crédit, les établissements financiers et les professionnels visés à l’article 2, paragraphe (1), points 8, 9, 11, 12 et 13, (avocats, notaires, activité conseil fiscal) dans les cas impliquant la même personne concernée et la même transaction faisant intervenir au moins deux professionnels, l’interdiction énoncée à l’alinéa 1er du présent paragraphe ne s’applique pas à la divulgation entre les professionnels concernés, à condition qu’ils soient situés dans un État membre, ou dans un pays tiers qui impose des obligations équivalentes à celles fixées dans la présente loi ou dans la directive (UE) 2015/849, qu’ils relèvent de la même catégorie professionnelle et qu’ils soient soumis à des obligations équivalentes en matière de secret professionnel et de protection des données à caractère personnel. Les informations échangées doivent être utilisées exclusivement à des fins de prévention du blanchiment et du financement du terrorisme.
OBLIGATIONS EN CAS DE VIREMENT ET DE TRANSFERT DE FONDS
Les dispositions auxquelles le professionnel se soumet figurent dans le Règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds et abrogeant le règlement CE 1781/2006. Ces dispositions sont entrées en vigueur le 26 juin 2017.
« Le règlement (UE) 2015/847 assure au niveau de l’Union européenne, la mise en œuvre uniforme de la Recommandation n°16 du GAFI sur les virements électroniques. (…) (il) établit les règles relatives aux informations sur les donneurs d’ordre et, dorénavant (nouveauté́ par rapport à l’ancien Règlement (CE) N° 1781/2006), sur les bénéficiaires de transferts, qui doivent accompagner les transferts de fonds, dans quelque monnaie que ce soit, lorsqu’au moins un des prestataires de services de paiement intervenant dans le transfert de fonds, est établi dans l’Union européenne ».
Compte tenu de l’effet direct du Règlement (UE) 2015/847, la CSSF invite les professionnels à « adapter, le cas échéant, (leurs) procédures et processus internes notamment en matière de LBC/FT, aux fins de (se) conformer aux exigences qu’il comporte »
La circulaire CSSF N°17/680 du 23 janvier 2018 réfère par ailleurs aux orientations communes des trois autorités européennes de surveillance relatives aux mesures que les prestataires de services de paiement doivent prendre en rapport avec des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes.
Le règlement (UE) s’applique aux transferts de fonds, dans quelque monnaie que ce soit, qui sont envoyés ou reçus par un prestataire de services de paiement ou un prestataire de services de paiement intermédiaire établi dans l’Union.
Les dernières orientations de l’Autorité bancaire européenne sur les facteurs de risque LBC/FT précisent que les prestataires de services d’initiation de paiement (« PISPs ») ainsi que les prestataires de services de paiement fournissant des informations sur le compte (« AISPs ») sont assujettis aux règles LBC/FT, quand bien même ceux-ci ne sont pas en possession des fonds du client.
Les dérogations à l’application du règlement (UE) 2015/847
« Le (…) règlement ne s’applique pas aux transferts de fonds effectués à l’aide d’une carte de paiement, d’un instrument de monnaie électronique ou d’un téléphone portable, ou de tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, si les conditions suivantes sont remplies:
a)la carte, l’instrument ou le dispositif est utilisé exclusivement pour payer des biens ou des services;
b)le numéro de cette carte, de cet instrument ou de ce dispositif accompagne tous les transferts découlant de la transaction.
Cependant, le (…) règlement est applicable lorsqu’une carte de paiement, un instrument de monnaie électronique ou un téléphone portable, ou tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, est utilisé pour effectuer un transfert de fonds entre particuliers
(4) Le présent règlement n’est pas applicable aux personnes qui ne font que numériser des documents papier et qui agissent en vertu d’un contrat avec un prestataire de services de paiement, ni à celles dont la seule activité est de fournir aux prestataires de services de paiement des systèmes de messagerie ou d’autres systèmes de support pour la transmission de fonds, ou des systèmes de compensation et de règlement
Le présent règlement ne s’applique pas aux transferts de fonds:
a) qui impliquent que le donneur d’ordre retire des espèces de son propre compte de paiement;
b) qui constituent des transferts de fonds au profit d’une autorité publique pour le paiement d’impôts, d’amendes ou d’autres prélèvements au sein d’un État membre;
c) pour lesquels le donneur d’ordre et le bénéficiaire sont tous deux des prestataires de services de paiement agissant pour leur propre compte;
d) qui sont effectués au moyen d’échanges d’images chèques, y compris des chèques digitalisés ».
Les obligations du professionnel varieront selon qu’il agit le cas échéant en qualité de prestataire de service de paiement pour le donneur d’ordre (section 1), pour le bénéficiaire (section 2) ou en présence d’un prestataire de service de paiement intermédiaire (section 3).
Section 1. Le respect du règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds
Sous – section 1. Obligations du prestataire de service de paiement (« PSP ») du donneur d’ordre
1. Informations accompagnant les transferts de fonds
« 1. Le prestataire de services de paiement du donneur d’ordre veille à ce que les transferts de fonds soient accompagnés des informations suivantes sur le donneur:
a) le nom du donneur d’ordre
b) le numéro de compte de paiement du donneur d’ordre et
c) l’adresse, le numéro du document d’identité officiel, le numéro d’identification de client ou la date et le lieu de naissance du donneur d’ordre
2. Le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné des informations suivantes:
a) le nom du bénéficiaire et
b) le numéro de compte de paiement du bénéficiaire
3. Par dérogation au paragraphe 1, point b), et au paragraphe 2, point b) (supra), dans le cas d’un transfert qui n’est pas effectué à partir ou à destination d’un compte de paiement, le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné d’un identifiant de transaction unique (ITU) plutôt que du/des numéro(s) de compte de paiement.
4. Avant de transférer les fonds, le prestataire de services de paiement du donneur d’ordre vérifie l’exactitude des informations visées au paragraphe 1 sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante.
(…)
6. Sans préjudice des dérogations prévues aux articles 5 et 6, le prestataire de services de paiement du donneur d’ordre n’effectue aucun transfert de fonds tant qu’il ne s’est pas assuré que le présent article est pleinement respecté ».
Il est important de noter que les règles édictées sur les données à renseigner par le PSP du donneur d’ordre subissent une exception importante, dès lors que tous les PSP impliqués dans la chaîne de paiement sont établis dans l’UE : seuls les numéros des comptes de paiement du donneur d’ordre et du bénéficiaire accompagneront obligatoirement le transfert (art. 5 du Règlement ci-dessous).
Dans la pratique, le nom du donneur d’ordre est généralement renseigné.
2. Transferts de fonds au sein de l’Union
« 1. Par dérogation à l’article 4, paragraphes 1 et 2, les transferts de fonds pour lesquels tous les prestataires de services de paiement intervenant dans la chaîne de paiement sont établis dans l’Union sont accompagnés au moins du numéro de compte de paiement à la fois du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, de l’identifiant de transaction unique, sans préjudice des exigences en matière d’informations prévues dans le règlement (UE) no 260/2012, s’il y a lieu
2. (…), le prestataire de services de paiement du donneur d’ordre met à disposition, dans les trois jours ouvrables à compter de la réception de la demande d’informations du prestataire de services de paiement du bénéficiaire ou du prestataire de services de paiement intermédiaire, les informations:
a) pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, les informations sur le donneur d’ordre ou le bénéficiaire conformément à l’article 4 (supra).
b) pour les transferts de fonds n’excédant pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, au moins:
i) les noms du donneur d’ordre et du bénéficiaire et
ii) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.
(…) ».
Le Règlement définit ainsi des seuils eu égard aux transferts (1000 €) selon lesquels les informations à donner par le professionnel varieront.
Le PSP du donneur d’ordre n’aura pas à vérifier l’exactitude des informations sur le donneur d’ordre pour les transferts de fonds au sein de l’UE n’excédant pas 1000€, le PSP a reçu les fonds à transférer en espèces ou sous forme de monnaie électronique anonyme, ou s’il a des des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme.
3. Transferts de fonds vers l’extérieur de l’Union
« En cas de transfert par lots effectué depuis un donneur d’ordre unique à destination de bénéficiaires dont les prestataires de services de paiement sont établis en dehors de l’Union, l’article 4, paragraphe 1 (informations sur le donneur et le bénéficiaire), ne s’applique pas aux transferts individuels regroupés dans ces lots, dès lors que le lot contient les informations visées à l’article 4, paragraphes 1, 2 et 3, que ces informations ont été vérifiées conformément à l’article 4, paragraphes 4 et 5, et que les transferts individuels portent le numéro de compte de paiement du donneur d’ordre ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique ».
« Par dérogation à l’article 4, paragraphe 1, et, le cas échéant, sans préjudice des informations requises conformément au règlement (UE) no 260/2012, les transferts de fonds pour lesquels le prestataire de services de paiement du bénéficiaire est établi en dehors de l’Union, dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, sont au moins accompagnés des informations suivantes :
a) les noms du donneur d’ordre et du bénéficiaire et
b) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.
Par dérogation à l’article 4, paragraphe 4, (vérification de l’exactitude des informations), le prestataire de services de paiement du donneur d’ordre n’est pas tenu de vérifier les informations sur le donneur d’ordre visées au présent paragraphe à moins que le prestataire de services de paiement du donneur d’ordre:
a) ait reçu les fonds à transférer en espèces ou sous la forme de monnaie électronique anonyme ou
b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme ».
Ici encore, un seuil inférieur à 1000 € pour un transfert hors UE permettra au PSP du donneur d’ordre de n’identifier que les noms du donneur d’ordre et du bénéficiaire accompagné des numéros de compte de paiement.
Le PSP du donneur d’ordre ne sera pas tenu pas tenu de vérifier les informations sur le donneur d’ordre, sauf si les fonds à transférer ont notamment été reçus en espèce ou sous forme de monnaie électronique anonyme ou s’il a des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme.
Sous – section 2. Obligations du prestataire de services de paiement du bénéficiaire
1. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire
« (1) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces pour détecter si, dans le système de messagerie ou dans le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système.
(2) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:
a) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi dans l’Union, les informations visées à l’article 5
b) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2
c) pour les transferts par lots pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2 en ce qui concerne ce transfert par lots
(3) Pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, le prestataire de services de paiement du bénéficiaire vérifie, avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, l’exactitude des informations sur le bénéficiaire visées au paragraphe 2 du présent article, sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante (…)
(4) Pour les transferts de fonds dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, le prestataire de services de paiement du bénéficiaire n’est pas tenu de vérifier l’exactitude des informations sur le bénéficiaire, à moins que le prestataire de services de paiement du bénéficiaire:
a) effectue le versement des fonds en espèces ou sous la forme de monnaie électronique anonyme ou
b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme. (…) ».
Les principes de non vérification des données du bénéficiaire en présence d’un virement dont le montant n’excède pas 1000 € sont identiques à ceux renseignés supra (encadré « transfert de fonds vers l’extérieur de l’Union) eu égard aux obligations du PSP du donneur d’ordre.
Le règlement (UE) 2015/847 ne décrit pas comment les PSP du bénéficiaire peuvent détecter les informations manquantes ; la circulaire CSSF 18/680 du 23 janvier 2018 reprend les orientations communes des autorités européennes de surveillance relatives aux mesures que les PSP doivent prendre en rapport avec des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes (les « Orientations »).
Le règlement CSSF 12/02 tel que modifié rappelle les règles du règlement (UE) 2015/847 en renvoyant aux orientations orientations communes des autorités européennes de surveillance relatives aux mesures que les prestataires de services de paiement doivent prendre pour détecter des informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire, ainsi que les procédures devant être mises en place pour gérer un transfert de fonds qui n’est pas accompagné des informations requises.
1.1 Les procédures eu égard aux informations manquantes et incomplètes
Principes
« Les PSP (…) doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.
Pour être efficaces, ces procédures doivent :
a) permettre au PSP (…) de repérer les informations dépourvues de sens
b) utiliser une combinaison de contrôles en temps réel et à posteriori et
c)déterminer les indicateurs de risque élevé devant alerter le PSP (…)
Obligations et recommandations
« Afin de détecter et gérer ces transferts de fonds à information manquante ou incomplète, les PSP et PSPI doivent notamment mettre en place, et maintenir par une revue régulière, des politiques et procédures efficaces, mais aussi proportionnelles à la nature, la taille et la complexité́ de leurs activités. Ces politiques et procédures doivent également être proportionnées aux risques de BC/FT auxquels les PSP sont exposés. Ainsi, elles doivent par exemple déterminer de manière précise les transferts de fonds qui doivent être contrôlés en temps réel et ceux qui peuvent l’être a posteriori ».
« Les PSP du bénéficiaire (…) sont donc priés de se référer aux Orientations pour prendre connaissance :
– des facteurs qu’ils devraient prendre en compte lors de l’élaboration et de la mise en œuvre des procédures de détection et de gestion des transferts de fonds qui ne comportent pas les informations requises sur le donneur d’ordre et/ou le bénéficiaire ».
1.2 Les informations « dépourvues de sens »
« Les PSP et (…) devraient traiter les informations dépourvues de sens comme s’il s’agissait d’informations manquantes.
Les informations dépourvues de sens peuvent être des chaînes de caractères aléatoires (par exemple, «xxxxx» ou «ABCDEFG») ou des informations qui n’ont manifestement aucun sens (par exemple «autre» ou «mon client»), même si ces informations ont été fournies à l’aide de caractères ou d’éléments conformes aux conventions des systèmes de messagerie ou de paiement et de règlement utilisés.
Lorsque les PSP (…) utilisent une liste de termes fréquemment jugés comme étant dépourvus de sens, ils doivent revoir cette liste régulièrement pour s’assurer qu’elle reste pertinente. Dans ces cas, il n’est pas attendu des PSP (…) qu’ils examinent les transactions manuellement pour détecter les informations dépourvues de sens ».
Il est recommandé que le professionnel paramètre ses systèmes informatiques afin que ceux-ci soient en mesure de détecter des informations dépourvues de sens.
1.3 Les indicateurs de risque
Dans le cadre de la mise en place des procédures de détection des informations manquantes, les PSP tiendront dûment compte des facteurs de risque renseignés dans le chapitre premier (« l’approche basée sur les risques »).
2. Gestion des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes
« Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, fondées sur les risques, y compris des procédures fondées sur l’appréciation des risques visée à l’article 13 de la directive (UE) 2015/849, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations complètes requises sur le donneur d’ordre et le bénéficiaire et pour prendre les mesures de suivi qui s’imposent ».
« Lorsque le prestataire de services de paiement du bénéficiaire constate, lorsqu’il reçoit un transfert de fonds, que les informations (sur le donneur d’ordre ou sur le bénéficiaire) sont manquantes ou incomplètes ou que les champs concernant ces informations n’ont pas été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions du système de messagerie ou du système de paiement et de règlement (…), le prestataire de services de paiement du bénéficiaire rejette le transfert ou demande les informations requises sur le donneur d’ordre et le bénéficiaire avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, ou après cette opération, en fonction de l’appréciation des risques ».
Il incombera aux PSP de déterminer s’il faut exécuter/refuser/suspendre un transfert de fonds conformément aux procédures en vigueur, étant entendu qu’ils prendront dûment en compte les risques impliqués liés à ce transfert de fonds avant de décider de la marche à suivre.
Le professionnel évalue si les informations manquantes soulèvent des préoccupations en matière de blanchiment.
« Si un PSP (…) décide de rejeter un transfert de fonds, il n’est pas tenu de demander les informations manquantes, mais il devrait indiquer la raison du rejet au prestataire de services de paiement intervenant en amont dans la chaîne de paiement.
Quand le PSP (…) décide de suspendre un transfert de fonds, il devrait en informer le prestataire de services de paiement situé en amont dans la chaîne de paiement et lui demander de fournir les informations manquantes sur le donneur d’ordre ou le bénéficiaire, ou de fournir ces informations en utilisant des caractères ou d‘éléments admissibles ». (…)
« Lorsque les informations demandées ne sont pas fournies dans le délai fixé, le PSP (…) devrait, conformément à ses politiques et procédures fondées sur les risques:
a) décider de rejeter ou d’effectuer le transfert ;
b) déterminer si le fait que le PSP intervenant en amont dans la chaîne de paiement n’ait pas fourni les informations requises suscite ou non un soupçon de BC-FT et
c) envisager les mesures à mettre en œuvre à l’égard du PSP intervenant en amont dans la chaîne de paiement au regard des dispositions en matière de LCB-FT ».
Il appartient ainsi au professionnel de déterminer l’issue d’un transfert en présence d’informations manquantes/incomplètes.
3. Évaluation et obligation de déclaration
« Le prestataire de services de paiement du bénéficiaire prend en compte les informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la cellule de renseignement financier (CRF) conformément à la directive (UE) 2015/849 ».
« Les PSP (…) devraient évaluer si un transfert de fonds est suspect ou non, en tenant compte de tous les critères établis par le droit de l’Union, la législation nationale et leurs propres politiques et procédures internes en matière de LCB-FT.
Les PSP (…) devraient garder à l’esprit que les transferts de fonds ne contenant pas les informations requises ou complétées à l’aide de caractères ou d’éléments inadmissibles ne peuvent, pour ces seules raisons, donner lieu à un soupçon de BC-FT. Lorsqu’ils évaluent le caractère suspect ou non d’un transfert de fonds, ils devraient tenir compte de l’ensemble des facteurs de risque de BC-FT associés au transfert de fonds (…), dans la mesure où ils sont connus, et accorder une attention particulière aux transferts de fonds susceptibles de présenter un risque plus élevé́ de BC-FT.
Les PSP (…) devraient être en mesure de démontrer qu’ils se conforment au droit de l’Union directement applicable ainsi qu’à la règlementation nationale en matière de LCB-FT ».
Sous – section 3. Obligations des prestataires de services de paiement intermédiaires (« PSPI »)
Les obligations incombant au PSPI présentent de nombreuses similarités avec celles du PSP du bénéficiaire.
1. Conservation des informations sur le donneur d’ordre et le bénéficiaire avec ce transfert de fonds
« Les PSPI veillent à ce que toutes les informations reçues sur le donneur d’ordre et le bénéficiaire qui accompagnent un transfert de fonds soient conservées avec ce transfert ».
Le PSPI veillera à ne pas altérer les données.
2. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire
« Le PSPI applique des procédures efficaces pour détecter si, dans le système de messagerie ou le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système».
En présence « d’informations dépourvues de sens », le PSPI aura les mêmes obligations que le PSP du bénéficiaire dans la même situation (supra).
« Les PSPI devraient contrôler les transferts de fonds afin de détecter si les caractères ou les éléments utilisés pour fournir les informations sur le donneur d’ordre et sur le bénéficiaire sont conformes aux conventions du système de messagerie ou du système de paiement et de règlement utilisé pour effectuer le transfert de fonds. Ces contrôles devraient être effectués en temps réel.
(…) les PSPI peuvent considérer qu’ils satisfont aux exigences respectivement fixées (…) à l’article 11, paragraphe 1, du règlement (UE) 2015/847, s’ils ont pu s’assurer et peuvent démontrer à leur autorité́ compétente qu’ils comprennent les règles de validation du système de messagerie ou du système de paiement et de règlement (…) ».
« Le PSPI applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:
a) pour les transferts de fonds pour lesquels les PSP du donneur d’ordre et du bénéficiaire sont établis dans l’Union, les informations visées à l’article 5
b) pour les transferts de fonds pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2
c) pour les transferts par lots pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2, en ce qui concerne ce transfert par lots.
3. Transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes
« (…) les PSPI doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.
Pour être efficaces, ces procédures doivent:
a) permettre (…) au PSPI de repérer les informations dépourvues de sens
b) utiliser une combinaison de contrôles en temps réel et à posteriori et
c) déterminer les indicateurs de risque élevé devant alerter (…) le PSPI ».
« Le PSPI met en place des procédures efficaces, fondées sur les risques, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations requises sur le donneur d’ordre et le bénéficiaire, et pour prendre les mesures de suivi qui s’imposent.
(…) »
Les obligations incombant au PSPI dans la gestion des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes sont identiques à celles renseignées supra pour le PSP du bénéficiaire (points 33 à 38 des Orientations).
Il est recommandé au professionnel de paramétrer ses systèmes informatiques afin de détecter les transactions suspectes ou douteuses.
4. Évaluation et obligation de déclaration
« Le prestataire de services de paiement intermédiaire prend en compte les informations manquantes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la CRF conformément à la directive (UE) 2015/849 ».
Sous – section 4. Informations, protection des données et conservation des informations
1. Communication d’informations aux autorités
« Les prestataires de services de paiement (PSP) donnent suite, de manière exhaustive et sans tarder, y compris par l’intermédiaire d’un point de contact central conformément à l’article 45, paragraphe 9, de la directive (UE) 2015/849, lorsqu’un tel point de contact a été désigné, et conformément aux exigences de procédure fixées par le droit national de l’État membre où ils sont établis, aux demandes émanant exclusivement des autorités dudit État membre responsables de la prévention et de la lutte contre le blanchiment de capitaux ou le financement du terrorisme pour ce qui est des informations requises en vertu du présent règlement ».
Sous certaines conditions, « les États membres d’accueil peuvent exiger des émetteurs de monnaie électronique et des prestataires de services de paiement qui ont des établissements sur leur territoire sous une forme autre que celle de la succursale, et dont le siège est situé dans un autre État membre, qu’ils nomment un point de contact central (…) ».
Le point de contact central joue un rôle de « coordinateur central » entre le PSP qui l’a nommé et ses établissements, ainsi qu’entre le PSP et les autorités compétentes de l’État membre où sont établis ces établissements.
2. Protection des données
« Le traitement des données à caractère personnel effectué au titre du présent règlement est soumis à la directive 95/46/CE (…).
« Les données à caractère personnel ne sont traitées par des prestataires de services de paiement sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit ».
« Les prestataires de services de paiement communiquent aux nouveaux clients les informations requises au titre de l’article 10 de la directive 95/46/CE avant d’établir une relation d’affaires ou d’exécuter une transaction à titre occasionnel. Ces informations contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».
« Les prestataires de services de paiement veillent à ce que la confidentialité des données traitées soit respectée ».
Il convient de se référer aux dispositions appropriées du RGPD eu égard aux « informations à fournir lorsque les données à caractère personnel sont collectées/ n’ont pas été collectées auprès de la personne concernée » (articles 13 et 14). L’avertissement général contiendra notamment les informations précontractuelles à fournir aux nouveaux clients (« personnes concernées ») telles qu’indiquées dans les orientations ABBL intitulées (« Steps forward in implementing the GDPR »). En sus, il renverra aux obligations professionnelles telles que contenues dans la Loi et auxquelles le professionnel est assujetti, la licéité du traitement des données du client concordant avec le respect d’une obligation légale à laquelle le professionnel (« responsable du traitement ») est soumis.
3. Conservation des informations
« 1) Les informations sur le donneur d’ordre et le bénéficiaire ne sont pas conservées au-delà de ce qui est strictement nécessaire. Le prestataire de services de paiement du donneur d’ordre et celui du bénéficiaire conservent pendant une durée de cinq ans les informations visées aux articles 4 à 7 du règlement ».
« 2) À l’issue de la période de conservation visée au paragraphe 1, les prestataires de services de paiement veillent à ce que les données à caractère personnel soient effacées, sauf dispositions contraires du droit national, lequel précise dans quelles circonstances les prestataires de services de paiement peuvent ou doivent prolonger la période de conservation des données. Les États membres ne peuvent permettre ou exiger que les informations soient conservées plus longtemps que s’ils ont au préalable procédé à une évaluation approfondie de la nécessité et de la proportionnalité de cette conservation prolongée et qu’ils l’ont jugée justifiée en raison de la nécessité de prévenir ou de détecter des actes de blanchiment de capitaux ou de financement du terrorisme ou d’enquêter en la matière. Cette période de conservation prolongée ne dépasse pas cinq ans ».
Comme énoncé supra, l’article 3, para (6) de la Loi énonce que « les professionnels sont tenus de conserver les pièces justificatives et les enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel.
Ainsi, la Loi constitue « une disposition contraire du droit national » au sens du Règlement (UE) 2015/847 qui oblige les professionnels à conserver les pièces justificatives eu égard aux transactions de leurs clients cinq ans après la fin de la relation d’affaires avec ceux-ci.
Sous- section 5. Sanctions
« Sans préjudice du droit de prévoir et d’imposer des sanctions pénales, les États membres arrêtent le régime de sanctions et de mesures administratives applicables en cas d’infraction aux dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir sa mise en œuvre. Les sanctions et mesures prévues sont effectives, proportionnées et dissuasives, et en adéquation avec celles qui sont fixées en application du chapitre VI, section 4, de la directive (UE) 2015/849.
Les États membres peuvent décider de ne pas fixer de régime de sanctions ou de mesures administratives pour les infractions aux dispositions du présent règlement qui sont déjà passibles de sanctions pénales dans leur droit national. Dans ce cas, les États membres communiquent à la Commission les dispositions pertinentes de leur droit pénal. (…) ».
« En cas de violation de (certaines) dispositions (…) du règlement (UE) 2015/847, la CSSF peut infliger les amendes d’ordre (…) aux entités visées (…) ainsi qu’aux membres de leurs organes de direction, à leurs dirigeants effectifs, ou aux autres personnes responsables de la violation ».
Section 2. Fraude relative aux transferts de fonds : les faux ordres de virement
Le professionnel se demande s’il a potentiellement affaire à un cas de figure relevé par la CRF :
LES TYPOLOGIES CONSTATEES
- La fraude au président (“CEO Fraud”) par laquelle un fraudeur sera en mesure de convaincre le service comptabilité d’une entreprise, en se faisant passer pour le PDG, de procéder à un virement sur un compte situé à l’étranger.
- L’utilisation de fausses factures adressées au service comptabilité d’une société peut comprendre plusieurs variations. Un fraudeur peut par exemple entrer dans le système informatique d’une entreprise pour connaître ses cocontractants et des paiements qui leur sont dus dans des délais précis.
- L’attaque de « l’homme du milieu » (c’est-à-dire un pirate du web interceptant des communications électroniques)
- Les courriels « piratés » (ceux d’intermédiaires financiers par exemple) visant à amener le professionnel à exécuter des ordres de virement non autorisés.
L’ASTUCE DES FRAUDEURS
Les fraudeurs ont toujours recours à l’ingénierie sociale (“social engineering”) pour tromper leurs victimes, les ayant mis en confiance et les empêchant de se poser des questions sur la légitimité des transferts exécutés .
Dans la plupart des affaires analysées par la CRF, le client n’a informé sa banque ou déposé une plainte auprès de la police ou du parquet que plusieurs jours après les faits. Or, les chances de récupérer les fonds plusieurs jours après l’exécution du virement tendent vers zéro. Les premières 24 heures sont cruciales pour envisager de recouvrer les fonds. Une intervention dans les 72 heures peut parfois encore aboutir à un résultat satisfaisant.
Seule une vigilance accrue des transactions du client par l’établissement financier concerné est susceptible de parer à l’absence de réaction de la part du client.
MESURES PREVENTIVES
Divers indicateurs existent afin de déceler des virements frauduleux. Ces indicateurs peuvent être d’application générale et peuvent notamment impliquer:
- des montants substantiels/ d’un montant élevé en contrepartie de l’exécution de contrats importants. Selon la CRF, il n’est pas rare que le virement porte sur des sommes dépassant 100.000 euros ou même 100.000 euros.
- des comptes bénéficiaires utilisés dans le cadre de faux ordres de virement et déjà connus
- l’utilisation de ”money mules” (une personne qui transfère des fonds obtenus illégalement entre différents comptes bancaires ou autres, très souvent dans différents pays, pour le compte d’autrui).
Il existe aussi des critères se rapportant au compte de la victime ou au compte de l’auteur (titulaire du compte bénéficiaire):
Titulaire du compte bénéficiaire :
- incohérence du montant de la transaction
- incohérence par rapport à l’activité du client
Compte de la victime/ comportements inhabituels/autres facteurs :
- relation d’affaire existante mais compte bénéficiaire incohérent
- nouveau compte bénéficiaire
- urgence/ confidentialité de la transaction
- non-respect du principe des quatre yeux
- pièces justificatives inhabituelles/ incohérences dans la documentation fournie
- noms de domaines frauduleux (phishing/pharming): les instructions viennent d’un compte de messagerie ressemblant étroitement au compte de messagerie du client (par ex. contact@abc.com au lieu de contact@abc.lu)
- instruction du chef d’un nouvel employé ou instructions données seulement par e-mail.
QUE FAIRE ?
Afin de se prémunir des faux ordres de virement, le professionnel peut instaurer des procédures suivant lesquelles le client est automatiquement contacté dès lors que le montant impliqué dans un ordre de virement atteint un seuil défini préalablement.
LA DECLARATION PAR LE PROFESSIONNEL A LA CRF
Le professionnel détenant le compte de la victime doit réagir rapidement afin d’avoir le plus de chance de recouvrir les fonds.
Après avoir informé l’établissement financier bénéficiaire, le professionnel fait immédiatement une déclaration d’opération suspecte (DOS) à la CRF.
Si l’exécution du virement a été faite depuis moins de 72 heures, le professionnel :
- peut faire une première DOS sommaire, renseignant avec précision toutes les informations sur la ou les transaction(s) suspecte(s), ainsi qu’une motivation en quelques mots. Le professionnel s’oblige à fournir tout détail supplémentaire dans les 24 heures.
- contacte la CRF par téléphone après avoir envoyé la DOS.
Le professionnel détenant le compte du suspect doit immédiatement faire une DOS à la CRF. La CRF décidera d’un ordre de blocage.
***
Tableau de correspondance – recommandations du GAFI
RECOMMANDATIONS du GAFI (et notes interprétatives) | VADE-MECUM |
Risk Based Approach :
| Partie II : le contenu des obligations professionnelles, Chapitre premii « l’approche basée sur le risque », section 1 « Identification et évaluation des risques » et section 2 « Gestion et atténuation des risques » |
Infractions de Blanchiment et de Financement du Terrorisme :
| Partie I : champ d’application des obligations professionnelles, Chapitre 1 « champ d’application matériel » : Annexe II « Tableau des infractions primaires » |
Sanctions financières ciblées / Sanctions
| Voir annexe III |
Loi sur le secret professionnel des institutions financières - Recommandation 9 | Partie I : champ d’application des obligations professionnelles, Chapitre 1 « champ d’application matériel », section 1 « les infractions de blanchiment et de financement du terrorisme » |
Devoir de vigilance relatif à la clientèle
| Partie II : le contenu des obligations professionnelles :
|
Conservation des documents
| Partie II : le contenu des obligations professionnelles :
|
Personnes Politiquement Exposées (PPE) :
| Partie II : le contenu des obligations professionnelles, chapitre 3 « Obligations renforcées de vigilance à l’égard de la clientèles », section 1 « les personnes politiquement exposées » |
Correspondance bancaire
| Partie II : le contenu des obligations professionnelles, Chapitre 3 « obligations renforcées de vigilance à l’égard de la clientèle », section 2 « banques correspondantes » |
Nouvelles technologies
| Partie II : le contenu des obligations professionnelles, Chapitre préliminaire « l’approche basée sur le risque » : |
Virements électroniques
| Partie II : le contenu des obligations professionnelles, Chapitre 8 « obligations en cas de virement et de transfert et de transfert de fonds » |
Recours à des tiers
| Partie II : le contenu des obligations professionnelles, Chapitre 4 « exécution des mesures de vigilance » :
|
Contrôles internes/ succursales et filiales à l’étranger (programmes LBC/FT à l’échelle du groupe)
| Partie I : champ d’application des obligations professionnelles, Chapitre 2, section 2 « Application des obligations professionnelles aux filiales et succursales à l’étranger des professionnels exerçant au Luxembourg » |
Pays présentant un risque plus élevé
| Partie II : le contenu des obligations professionnelles,
|
Déclaration des opérations suspectes
| Partie I : champ d’application des obligations professionnelles,
|
Transparence et bénéficiaires effectifs des personnes morales
| Partie II : le contenu des obligations professionnelles : Chapitre 2, sous- section 2 « identification et vérification de l’identité des bénéficiaires » |
Transparence et bénéficiaires effectifs des constructions juridiques
| Partie II : le contenu des obligations professionnelles : Chapitre 2, sous- section 2 « identification et vérification de l’identité des bénéficiaires » |
Aperçu des infractions primaires du blanchiment en droit luxembourgeois
Le tableau ci-dessous est établi à des fins d’information et ne se prétend pas exhaustif. De même, la description des éléments constitutifs de l’infraction est dressée à titre purement indicatif.
L’article 506-1 du code pénal contient une liste étendue d’infractions primaires, c’est-à-dire les infractions dont l’objet ou le produit peuvent donner lieu à une infraction de blanchiment. Cette liste comporte deux volets : d’une part des infractions expressément désignées comme infractions primaires, d’autre part une liste « ouverte » définie suivant un seuil de peine et comportant toutes les infractions punies d’une peine privative de liberté d’un minimum supérieur à six mois.
La loi du 12 novembre 2004 telle que modifiée par la loi du 10 août 2018 modifiant le code de procédure pénale, oblige le professionnel à effectuer une déclaration au Parquet lorsqu’il sait, soupçonne, ou a des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération. Il n’y a pas d’obligation pour le professionnel de rechercher activement des faits de blanchiment, ni de rechercher si ceux-ci sont suffisamment concluants pour servir de fondement à une enquête, ni de qualifier pénalement les faits, ni d’en prouver l’exactitude, cette tâche revenant aux autorités judiciaires compétentes.
Les professionnels encourent des sanctions administratives en cas de manquement aux obligations professionnelles liées à la loi du 12 novembre 2004. Les personnes morales peuvent recevoir des amendes allant jusqu’à un maximum de 5.000.000 euros ou 10% du chiffre d’affaires annuel total. Les personnes physiques peuvent recevoir des amendes allant jusqu’à un maximum de 5.000.000 euros.
Par ailleurs, ces derniers s’exposent également à des sanctions pénales en se voyant potentiellement infliger des amendes allant de 12.500 euros à 5.000.000 d’euros, telles qu’introduites par la loi du 13 février 2018 transposant partiellement la quatrième directive anti-blanchiment (EU 2015/849).
La jurisprudence luxembourgeoise a appliqué les sanctions prévues par la loi, notamment lors deux affaires.
Jugement du 25 avril 2012, un expert-comptable a été condamné à une peine d’amende de 12.000 euros car il s’est avéré qu’il exerçait son activité pour des sociétés dont il ne connaissait pas les bénéficiaires effectifs.
- Jugement du 13 juin 2013, un professionnel de la comptabilité fut condamné à une peine d’emprisonnement assortie du sursis des chefs de faux en écritures et d’infraction à l’article 5(1) de la loi modifiée du 12 novembre 2004. Le professionnel avait établi une fausse attestation concernant l’origine des avoirs trouvés par la Police Grand-Ducale dans la voiture conduite par le beau-frère du client. Le professionnel a attesté que les avoirs provenaient de vente de véhicule et a émis cette attestation sur présentation d’une facture falsifiée.
Etant entendu par ailleurs que les infractions primaires du blanchiment n’ont pas toutes la même importance dans le quotidien des professionnels au regard de la lutte contre le blanchiment et le financement du terrorisme, la liste de ces dernières sera présentée en deux parties :
- d’une part, les infractions énoncées dans la directive UE 2018/1673 du Parlement Européen et du Conseil du 23 octobre 2018 visant à lutter contre le blanchiment de capitaux au moyen du droit pénal ( partie 1 ci-dessous) ;
- d’autre part, les infractions non-reprises dans cette directive, au caractère moins pertinent ( partie 2 ci-dessous) ;
Partie 1 - Infractions pertinentes au regard de la lutte contre le blanchiment et le financement du terrorisme |
||
Catégories d’infractions | Description de l’infraction | Références |
Le terrorisme, y compris son financement | Les actes de terrorisme : tout crime et délit punissable d’un emprisonnement d’un maximum d’au moins trois ans ou d’une peine plus grave qui, par sa nature ou son contexte, peut porter gravement atteinte à un pays, une organisation internationale et a été commis intentionnellement dans le but de - gravement intimider une population, - contraindre indûment des pouvoirs publics, une organisation ou un organisme international à accomplir ou à s’abstenir d’accomplir un acte quelconque, ou - gravement déstabiliser ou détruire les structures fondamentales politiques, constitutionnelles, économiques ou sociales d’un pays, d’une organisation ou d’un organisme international. - la participation à un groupe terroriste : constitue un groupe terroriste, l’association structurée d’au moins deux personnes, établie dans le temps, en vue de commettre de façon concertée un ou plusieurs actes terroristes. - le financement du terrorisme : constitue un acte de financement du terrorisme le fait de fournir ou de réunir par quelque moyen que ce soit, directement ou indirectement, illicitement et délibérément, des fonds, des valeurs ou des biens de toute nature, dans l’intention de les voir utilisés ou en sachant qu’ils seront utilisés, en tout ou en partie, en vue de commettre une ou plusieurs des infractions définies comme acte de terrorisme ou comme prise d’otage, même s’ils n’ont pas été effectivement utilisés pour commettre une de ces infractions.
le fait de mettre à disposition du public un message, y compris par le biais de réseaux de communications électroniques, avec l’intention d’inciter, directement ou indirectement, à la commission d’une infraction liée aux activités terroristes, de solliciter/participer/commettre un acte de recrutement ou d’entraînement au terrorisme. Les attentats contre les personnes jouissant d’une protection internationale (chefs d’Etat, chef de gouvernement ou ministre des affaires étrangères, lorsqu’une telle personne se trouve dans un Etat étranger, ainsi que les membres de sa famille qui l’accompagnent ; tout représentant, fonctionnaire ou personnalité officielle d’un Etat et tout fonctionnaire, personnalité officielle ou autre agent d’une organisation intergouvernementale qui a droit à une protection spéciale contre toute atteinte à sa personne, sa liberté ou sa dignité, ainsi que les membres de sa famille). | Article 506-1, tiret 1 CP Articles 135-1 à 135-6 CP Voy. Recommandations Spéciales du GAFI sur le financement du terrorisme Voy. lignes directrices du GAFI « Terrorist Financing Risk Assessment Guidance » Article 135-9 CP Articles 135-11 à 135-13 CP Article 112-1 CP |
Les actes de terrorisme nucléaire |
lorsque ces faits sont commis illicitement et dans l’intention d’entraîner la mort d’une personne, de lui causer des dommages corporels graves ou de causer des dégâts considérables à des biens ou à l’environnement. | Loi du 29 juillet 2008 portant approbation de la Convention internationale pour la répression des actes de terrorisme nucléaire, ouverte à la signature à New York le 14 septembre 2005. |
L’enlèvement, la séquestration et la prise d’otages |
L’infraction primaire d’enlèvement de mineurs est celle qui inclut l’exigence d’une rançon ou l’exécution d’un ordre ou d’une condition susceptible de procurer un avantage pécuniaire. C’est en effet le produit de ce crime, dont le ravisseur direct ou indirect tentera de dissimuler l’origine, qui explique que l’infraction d’enlèvement de mineurs figure parmi les infractions primaires du blanchiment.
| Article 360 CP Articles 368 à 370 CP Articles 364 et 365 CP Articles 435 à 438-1 CP Article 147 alinéa 3 CP Article 154 CP Articles 438 et 438-1 CP Article 442-1 CP |
La non- justification des ressources, participation à un groupe criminel organisé et la participation à un racket |
L’association de malfaiteurs est constituée par l’existence d’un groupement de personnes formé dans le but d’attenter aux personnes ou aux propriétés. Elle n’implique pas nécessairement l’existence d’une hiérarchie, d’une structure organique. L’absence de hiérarchie est même une caractéristique des associations de malfaiteurs modernes. Pour jouer leur rôle dans une telle association, les membres n’ont pas besoin de se connaître tous.
| Article 506-1, tiret 2 CP Articles 322 à 324quater CP |
La traite des êtres humains et le trafic illicite des migrants |
| Article 506-1, tiret 3 CP Articles 382-1 et 382-2 CP Articles 382-4 et 382-5 CP Article 143 de la loi du 29 août 2008 portant sur la libre circulation des personnes et l’immigration. |
L’exploitation sexuelle, y compris celle des enfants |
Cette infraction consiste à embaucher, entraîner ou détourner une personne en vue de la prostitution ou de la débauche, soit sur le territoire du Grand-Duché, soit dans un pays étranger. L’infraction est également constituée par le fait de faciliter l'entrée, le transit, le séjour ou la sortie du territoire de personnes aux fins de l’infraction précitée. La même qualification est retenue en ce qui concerne le fait de détenir, diriger ou de mettre à la disposition d’autrui, voire de tolérer l’exploitation d’une maison de débauche ou de prostitution.
| Article 506-1, tiret 3 CP Article 506-1, tiret 4 CP Article 379 CP Article 379bis CP Article 383 à 383 ter CP |
Le trafic illicite de stupéfiants et de substances psychotropes |
| Loi du 19 février 1973 concernant la vente de substances médicamenteuses et la lutte contre la toxicomanie. Article 506-1, tiret 15 CP Loi du 11 janvier 1989 réglant la commercialisation des substances chimiques à activité thérapeutique |
Le trafic illicite d’armes |
De très nombreuses exceptions à la définition des armes et munitions figurent, au titre desquelles les couteaux de chasse et armes qui constituent des antiquités, des objets d’art ou de décoration ou qui sont destinées à faire partie d’une collection ou d’une panoplie, etc.
| Article 506-1, tiret 7 CP Loi du 15 mars 1983 sur les armes et munitions. Loi du 4 juin 2009 portant approbation de la Convention sur les armes à sous-munitions, ouverte à la signature à Oslo le 3 décembre 2008. |
Le trafic illicite de biens volés et autres biens |
| Article 506-1, tiret 14 CP Loi du 21 mars 1966 concernant a) les fouilles d’intérêt historique, préhistorique, paléontologique ou autrement scientifique, b) la sauvegarde du patrimoine culturel mobilier. Loi du 11 janvier 1989 réglant la commercialisation des substances chimiques à activité thérapeutique. Loi du 25 novembre 1982 réglant le prélèvement de substances d´origine humaine. |
La corruption | L’infraction de corruption couvre tant la corruption active (fait du corrupteur) que passive (fait du corrompu), tant la corruption dans le secteur public que dans le secteur privé : 1) La corruption de personnes publiques :
L’infraction primaire qui peut donner lieu au délit de blanchiment est particulièrement manifeste dans l’hypothèse de la corruption passive, étant donné que c’est le fait du corrompu de dissimuler l’origine des fonds qu’il tire de la corruption, qui est constitutif de l’infraction de blanchiment. Il convient de noter que la corruption est un phénomène particulièrement délicat à cerner. Hormis des cas de corruption passive, il n’est pas exclu que le professionnel puisse être amené à connaître des situations de corruption active. Il sera malaisé de repérer un seul fait générateur. La découverte de faits de corruption découlera le plus souvent de l’analyse d’un faisceau d’indices (entre autres mouvements de compte, copies d’accords contractuels, …). Un cas de corruption peut par exemple être celui dans lequel un mandataire ou un fonctionnaire se fait octroyer une somme d’argent pour l’attribution d’un marché. 2) La corruption dans le secteur privé :
Ceci couvre non seulement les activités professionnelles, mais également le travail effectué de manière bénévole, ainsi que les relations issues d’autres types de contrats, comme les contrats de prestation de services conclus entre un prestataire indépendant et son client. | Article 506-1, tiret 6 CP Articles 246 à 253 CP et loi du 23 mai 2005 portant approbation :
Article 240 CP Articles 310 et 310-1 CP |
La fraude | 1) La banqueroute :
Il s’agit du délit commis par les dirigeants de personnes morales ayant fait l’objet d'une procédure de faillite lorsqu'ils sont coupables d'impéritie grave (banqueroute simple) ou ont commis des fautes de gestion délictueuses (soustraction de comptabilité, détournement de l’actif,…) (banqueroute frauduleuse).
2) L’abus de confiance :
3) L’escroquerie :
4) La fraude aux intérêts financiers de l’Etat et des institutions internationales :
| Article 506-1, tiret 10 CP Articles 489 et 490 CP Articles 491 à 496 CP Article 506-1, tiret 5 CP Articles 496-1à 496-4 CP (escroqueries à subventions ) |
L’abus de biens sociaux | Le fait pour les dirigeants de sociétés, de droit ou de fait, de mauvaise foi,
Par usage, il y a lieu d’entendre non seulement l’appropriation ou la dissipation d’un bien, mais encore la simple utilisation ou administration de ce bien. Cet usage est abusif lorsqu’il est contraire aux intérêts de la société, c’est-à-dire lorsqu’il porte atteinte à son patrimoine social ou s’il expose la société, sans nécessité pour elle, à des risques anormaux et graves. L’affectation de fonds issus d’un marché de la société à un compte privé constitue une appropriation de biens portant atteinte au patrimoine social (Trib. Lux. 22 avril 1999, P. 31, 81.) | Article 506-1, tiret 25 CP Article 1500-11 de la loi du 10 août 1915 concernant les sociétés commerciales |
Faux bilans |
| Article 506-1, dernier tiret CP Article 1500-8 de la loi du 10 août 1915 concernant les sociétés commerciales |
Les délits d’initiés et manipulations de marché |
| Article 506-1, tiret 24 CP Articles 16 et suivants de la Loi du 23 décembre 2016 relative aux abus de marché |
Les infractions fiscales pénales (liées aux impôts directs et indirects) |
Éléments constitutifs de l’infraction de fraude fiscale aggravée : Si la fraude porte sur un montant d’impôt supérieur au quart de l’impôt annuel effectivement dû sans être inférieur à 10.000 euros ou sur un remboursement indu supérieur au quart du remboursement annuel effectivement dû sans être inférieur à 10.000 euros ou si le montant d’impôt annuel effectivement dû ou le remboursement annuel à opérer est supérieur à la somme de 200.000 euros, elle sera punie comme fraude fiscale aggravée. La fraude fiscale est donc aggravée lorsqu’elle dépasse deux seuils :
Éléments constitutifs de l’infraction d’escroquerie fiscale: Celui qui a :
Etant entendu que les infractions comprennent:
Voir également circulaire CSSF 17/650 du 17 février 2017 et sa liste d’indicateurs pour les infractions susmentionnées (Voir aussi jugements n°353/2002 du 14 février 2002 et n°1344/2008 du 24 avril 2008) | Article 506-1, tirets 25 à 27, Introduit par la loi du 23 décembre 2016
|
Cybercriminalité |
Tout prestataire n’ayant pas respecté le souhait des personnes inscrites sur un ou plusieurs registres d’opt out aux fins de ne plus recevoir ces communications commerciales
interdiction d’émettre ces communications en déguisant/dénaturant l’identité de l’émetteur + sans le consentement ou le courriel donné au préalable du destinataire | Article 506-1, tiret 11 Articles 509-1 à 509-7 CP Article 506-1, tiret 12 CP Article 48 de la loi du 14 août 2000 relative au commerce électronique Article 506-1, tiret 13 CP Article 11 (6) de la loi du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques |
Le vol et autres crimes contre les propriétés |
| Article 506-1, tiret 9 CP Article 506-1, tiret 25 CP Articles 463 et 464 CP Article 467 CP Article 468 à 474 CP Article 470 CP Article 475 CP Article 506 CP Article 507 CP Article 510 à 513 CP Article 521 CP Article 525 CP Article 529 à 532 CP Article 547 CP |
Le faux monnayage |
| Article 506-1, tiret 25 CP Articles 162 à 178 CP |
La contrefaçon et le piratage des produits | 1) Le piratage de produits
2) L’utilisation et la divulgation de secrets commerciaux ou industriels
3) Les atteintes au droit d’auteur
| Article 506-1, tiret 8 CP Articles 169 et suivants CP Article 309 CP Articles 82 à 85 de la loi du 18 avril 2001 sur les droits d’auteur, les droits voisins et les bases de données. |
Les infractions pénales contre l’environnement |
| Article 506-1, tiret 18 CP Article 65 de la loi du 19 janvier 2004
Article 506-1, tiret 19 CP Article 9 de la loi du 21 juin 1976 relative à la lutte contre la pollution de l’atmosphère. Loi du 10 juin 1999 relative aux établissements classés. Article 506-1, tiret 19 CP Article 26 de la loi du 29 juillet 1993 concernant la protection et la gestion de l’eau. Article 506-1, tiret 22 CP Article 35 de la loi du 17 juin 1994 relative à la prévention et la gestion des déchets. Article 506-1, tiret 22 CP Article 25 de la loi modifiée du 10 juin 1999 relative aux établissements classés Article 18 de la loi du 24 décembre 2002 relative aux produits biocides. Article 4 de la loi du 2 avril 2008 relative à la pollution causée par les navires. |
La contrebande |
| Article 506-1, tiret 23 CP Articles 220 et 231 de la loi générale sur les douanes et accises. |
L’extorsion | Quiconque aura extorqué, par violences ou menaces, soit la remise de fonds, valeurs, objets mobiliers ou clefs électroniques, soit la signature ou la remise d’un écrit, d’un acte, d’une pièce quelconque contenant ou opérant obligation, disposition ou décharge sera puni des peines portées aux articles 468, 471, 472, 473, 474 et 475, d’après les distinctions qui y sont établies. Quiconque, à l’aide de la menace écrite ou verbale de révélations ou d’imputations calomnieuses ou diffamatoires, aura extorqué, soit la remise de fonds, valeurs, objets mobiliers ou clefs électroniques, soit la signature ou la remise des écrits énumérés ci-dessus, sera puni d’un emprisonnement d’un an à cinq ans et d’une amende de 500 euros à 30.000 euros. La tentative de ce dernier délit sera punie d'un emprisonnement de six mois à trois ans et d'une amende de 251 euros à 10.000 euros. | Articles 470 et 475 CP |
Le faux | Le faux commis avec intention frauduleuse ou à dessein de nuire :
L’inscription dans les livres de banques de dépôts au nom de clients fictifs, dans le but de s’assurer des bénéfices illicites, constitue la fabrication de fausses conventions de dépôt par altération de faits que ces livres avaient pour objet de recevoir et de constater (Trib. Luxembourg, 16 nov.1948, P.14, 464). L’infraction de faux en écritures suppose la réunion de quatre conditions : un écrit protégé au sens de la loi pénale, une altération de la vérité, une intention frauduleuse ou un dessein de nuire et un préjudice ou une possibilité de préjudice. L’intention frauduleuse se définit comme étant le dessein ou l’intention de se procurer ou de procurer à autrui un avantage illicite quelconque. Ces conditions sont réunies par le cotitulaire d’un compte commun qui, en vue de récupérer l’argent y placé, confectionne une déclaration annulant la convention aux termes de laquelle les signatures de tous les titulaires du compte courant doivent figurer sur les ordres de virement, les employés de la banque auxquels la fausse déclaration est présentée étant à la fois induit en erreur et conduits à conformer leur attitude sur le contenu de la fausse déclaration en cause, en acceptant les ordres de virement portant la seule signature du prévenu (Trib. Lux. 22 avril 1999, P.31,82).
| Articles 193 à 212 CP Articles 215 à 217 CP Article 221 CP |
La piraterie |
| Article 31 de la loi du 31 janvier 1948 relative à la réglementation de la navigation aérienne. Code disciplinaire et pénal pour la marine. |
Les meurtres et les blessures corporelles graves |
| Article 393 CP Article 394 CP Article 395 CP Article 396 CP Article 397 CP Article 400 CP Article 401 CP Article 401bis CP Article 403 CP Article 404 CP Loi du 25 septembre 1953 ayant pour objet la réorganisation du contrôle des denrées alimentaires, boissons et produits usuels. Articles 406 à 408 CP Articles 409 et 410 CP Article 430 CP Article 453 CP Loi du 9 janvier 1985 relative à la répression des infractions graves aux Conventions internationales de Genève du 12 août 1949. |
Partie 2- Infractions présentant un caractère moins pertinent dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme |
||
Le génocide, le crime contre l’humanité, le crime de guerre, le crime d’agression | - l‘acte de génocide : l’intention de détruire, en tout ou en partie, un groupe national, ethnique, racial ou religieux, en commettant l’un des actes suivants :
- le crime contre l’humanité : l’un des actes suivants lorsqu’il est commis dans le cadre d’une attaque généralisée ou systématique lancée contre toute population civile et en connaissance de cette attaque :
- le crime de guerre, c’est-à-dire
- le crime d’agression, c’est-à-dire la planification, la préparation, le lancement ou l’exécution par une personne effectivement en mesure de contrôler ou de diriger l’action politique ou militaire d’un Etat, d’un acte d’agression qui, par sa nature, sa gravité et son ampleur, constitue une violation manifeste de la Charte des Nations Unies. | Article 136 bis à 136quinquies CP |
Les crimes contre la sûreté de l’Etat |
| Articles 101 à 112 CP Articles 113 à 118ter et 121 alinéa 1, 121bis, 122, 123, 123quater CP, Articles 124 à 135 CP Loi du 31 décembre 1982 concernant la refonte du Code pénal militaire. |
Les crimes contre l’ordre public | 1) Le complot :
2) Le détournement, la destruction d’actes ou de titres :
3) La concussion : La concussion à l’aide de violence ou menaces par toute personne dépositaire ou agent de l’autorité ou de la force publiques, ou chargée d’une mission de service public ou investi d’un mandat électif public :
4) L’abus d’autorité :
5) les actes de torture :
6) la rébellion :
| Article 234 alinéa 3 CP Article 235 CP Article 240 CP Article 241 CP Article 243 al. 2 et 3 CP Articles 254 à 260 CP Articles 260-1 à 260-4 CP Article 272 CP |
Les crimes contre l’ordre des familles et contre la moralité publique |
| Articles 348 à 352 CP Article 363 CP Article 391 CP |
Les atteintes à l’administration de la justice de la Cour pénale internationale |
| Article 28 de la loi du 27 février 2012 réglementant les modalités de la coopération avec la Cour pénale internationale |
Liste des pays tiers à hauts risques et personnes sous mesures restrictives en matière financière
Les liens référencés ci-dessous ont été sélectionnés lors de l’élaboration du Vade-Mecum. Aussi, il appartient au professionnel de s’assurer qu’il dispose bien, le cas échéant, d’une version actualisée des liens proposés.
A – LISTES DES PAYS TIERS PRESENTANT UN RISQUE DE CORRUPTION / DES LACUNES DANS LES SYSTEMES DE LUTTE CONTRE LE BLANCHIMENT ET LE FINANCEMENT DU TERRORISME :
- voir par liste pays (corruption) publiée par Transparency International :
https://www.transparency.org/en/cpi/2020/index/nzl
- voir le site web du Conseil de l’Europe à propos du Groupe d’États contre la corruption:
https://www.coe.int/fr/web/greco/evaluations
(Liste mise à jour régulièrement)
- voir liste/outil GAFI sur les pays membres du GAFI et des 9 organismes régionaux de type GAFI, incluant également les juridictions à hauts risques et juridictions sous surveillance :
http://www.fatf-gafi.org/fr/pays/#hiyysgh-risk
- voir règlement délégué (UE) 2020/855 de la Commission du 7 mai 2020 modifiant le règlement délégué (UE) 2016/1675 de la Commission du 14 juillet 2016 complétant la directive (UE) 2015/849 du Parlement européen et du Conseil par le recensement des pays tiers à haut risque présentant des carences stratégiques
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32020R0855&from=EN
- la CSSF recommande également de se référer aux rapports officiels « pays » tels que publiés par l’OCDE, la Banque Mondiale et le Fonds Monétaire International:
- http://www.oecd.org/fr/daf/anti-corruption/rapportsparpayssurlamiseenoeuvredelaconventiondeluttecontrelacorruptiondelocde.htm
- https://donnees.banquemondiale.org/pays
- https://www.imf.org/en/countries
- Voir aussi :
www.cfatf.org (caribbean financial action task force)
www.apgml.org (Asia Pacific group on money laundering)
http://www.gafilat.org/index.php/es/ (GAFI South America)
www.menafatf.org (Middle east and North Africa financial action task force)
www.giaba.org (intergovernmental action group against money laundering in Africa)
B – LISTE DE PERSONNES /ENTITES/GROUPES SOUMIS A DES INTERDICTIONS ET MESURES RESTRICTIVES EN MATIERE FINANCIERE ET DANS LE CADRE DE LA LUTTE CONTRE LE FINANCEMENT DU TERRORISME :
- page web de la CSSF dédiée aux sanctions financières internationales :
https://www.cssf.lu/fr/sanctions-financieres-internationales/
- EU sanctions tool :
- Les listes émises par les institutions européennes : Les règlements communautaires concernant des embargos financiers sont systématiquement transmis aux professionnels du secteur financier par la CSSF. Ils ont généralement pour objet de transformer en un instrument communautaire obligatoire les résolutions du Conseil de Sécurité des Nations Unies. Ces listes sont d’application directe dès leur publication au Journal Officiel de l’Union européenne et s’imposent en tant que telles aux professionnels.
https://webgate.ec.europa.eu/europeaid/fsd/fsf/public/…/pdfFullSanctionsList/content?…
- Les listes émises par la Cellule de Renseignement Financier (CRF) du Parquet/Ministère des finances : les circulaires du Parquet visent généralement, sur la base de l’obligation de coopérer en matière de lutte anti-blanchiment, d’une part à obtenir certains renseignements sur des personnes soupçonnées d’être liées à des activités de blanchiment ou de financement du terrorisme et, d’autre part, à geler les avoirs de ces personnes.
Le lien de la CRF renvoie au site du Ministère des finances : https://mfin.gouvernement.lu/fr/dossiers/2018/sanctions-financiaires-internationales.html
- Les autres listes émises par des autorités nationales étrangères : en ce qui concerne principalement la liste OFAC (Office of Foreign Assets Control du Department of Treasury des Etats-Unis).
Cette liste peut contenir un certain nombre de personnes et entités suspectées d’être liées à des activités de financement du terrorisme ou de blanchiment d’argent. Ainsi, le fait qu’un professionnel constate qu’il a un lien direct ou indirect avec une personne figurant sur cette liste pourrait être de nature à éveiller un soupçon de blanchiment ou de financement du terrorisme dans le chef du professionnel. La présence de la personne en question sur la liste peut être considérée comme constituant un fait au sens de l’article 5 de la loi du 12 novembre 2004, qui pourrait amener le professionnel à opérer une déclaration de soupçon à la CRF. En effet, le professionnel ne peut exclure que la raison qui a motivé la mention du suspect sur la liste OFAC est son lien avec des activités liées au financement du terrorisme ou au blanchiment d’argent.
C –TRANSPARENCE FISCALE ET NORME COMMUNE DE DECLARATION
- Règlement grand-ducal du 22 janvier 2021 modifiant le règlement grand-ducal modifié du 15 mars 2016 portant exécution de l’article 2, paragraphe 4 de la loi du 18 décembre 2015 relative à la Norme commune de déclaration :
http://legilux.public.lu/eli/etat/leg/rgd/2021/01/22/a56/jo
- L’OCDE a publié le 17 octobre 2018 des recommandations ayant trait aux listes de programmes de résidence et de citoyenneté moyennant investissement (« Citizenship by Investment » et « Residence by Investment« ) qui sont susceptibles de présenter un risque élevé
Liens utiles – références complémentaires
[PARTIE II : Approche basée sur les risques (identification/atténuation)]
- Le « Joint Money Laundering Steering Group » britannique met à disposition des orientations sur l’approche basée sur le risque dans la première partie de son guide (p.41 à 70), avec des illustrations concrètes :
- La Banque des règlements internationaux met à disposition des orientations « sound management of risks related to money laundering and financing of terrorism » :
https://www.bis.org/bcbs/publ/d405.pdf
- Le GAFI a émis des lignes directrices sur l’évaluation nationale des risques qui contiennent des illustrations de risques « pays » (p.39) :
- La note interprétative de la recommandation n°10, point H (p. 67) évoque l’approche fondée sur les risques en listant les facteurs de risques faibles à élevés
www.fatf-gafi.org/fr/publications/recommandationsgafi/
- Actifs virtuels:
Orientations du GAFI pour une approche fondée sur le risque en matière d’AV et de VASP (octobre 2021)
Révision à 12 mois des normes du GAFI relatives aux AV et aux ASV (juin 2020) et
Deuxième révision à 12 mois des normes du GAFI sur les VA et VASP (juillet 2021).
Rapport du GAFI : les actifs virtuels, indicateurs de flagrant délit de blanchiment et de financement du terrorisme (septembre 2020)
Communiqué de la CSSF sur les VAs, VASPs et le processus d’enregistrement y afférent (9 avril 2020)
Lignes directrices de l’Autorité Bancaire Européenne sur les facteurs de risque (1er mars 2021)
Page de la CSSF consacrée aux VASPs
Documents – identification/vérification des clients
(PARTIE II : Identification/ vérification du client personnes physiques/morales)
FORME DOCUMENTAIRE – documentation/conservation des documents relatifs aux obligations de vigilance à l’égard du client (vérification)
CLIENT personne morale | Copie | Original | Intervention/ validation-certification par un tiers (autorités publiques, officiers publics, autres) |
Pouvoirs de représentation du MANDATAIRE : | X Délégation de pouvoir, statuts de la société ou de l’association, prospectus du fonds, arrêté/décret de nomination Art. 20 (2) R. n°12-02 | Selon évaluation des risques par le professionnel (intervention : avocat, notaire, communes, administrations/émanations de l’État, le cas échéant). |
|
VERIFICATION de l’identité de la PM | X
Art. 19 (1) R. n°12-02 | X
[actes, statuts, comptes annuels, procédures collectives, jugements …]
|
|
VERIFICATION COMPLEMENTAIRE de l’identité de la PM | X - Vérification des d’informations recueillies auprès de sources indépendantes (internet, logiciels, banques de données publiques et privées) Art. 19 (2) R. n°12-02 | X - Accusés de réception des courriers recommandés (contact sociétés) Art. 19 (2) R. n°12-02 | X - Rapport de gestion et derniers comptes, certifiés par un réviseur d’entreprise agréé (le cas échéant) - Document attestant que la société ne fait pas l’objet d’une dissolution/radiation/faillite/liquidation Art. 19 (2) R. n°12-02 |
CLIENT personne morale | Copie | Original | Intervention/ validation-certification par un tiers (autorités publiques, officiers publics, autres) |
Pouvoirs du MANDATAIRE :
| X Jugements/ livrets de famille/ actes de naissance (…) | X
|
|
VERIFICATION de l’identité du client PP | X Tout document repris par ex. dans le registre (mondial) public en ligne de documents authentiques d’identité et de voyage (site du Conseil européen) https://www.consilium.europa.eu/prado/fr/prado-start-page.html | X
(émanant d’une autorité publique)
Art. 18 (1) R. n°12-02 |
|
VERIFICATION COMPLEMENTAIRE de l’identité du client PP et de sa résidence (en cas de doute) | X
| X
document type d’assurances, taxes communales/habitation/subventions étatiques-allocations diverses avis d’imposition/ bulletin de salaire/ pension/ crédit d’impôt/ Preuve du statut fiscal dérogatoire (RND, « au forfait »), numéro d’identification fiscal, auto-certification abonnement internet- téléphonie mobile convocation administrative/ mise en demeure (…) |
(PARTIE II : Identification/ vérification du client personne physique)
BASES DE DONNEES DOCUMENTAIRES POUR EXERCER LES MESURES DE VIGILANCE A L’EGARD DE LA CLIENTELE :
- Le Ministère Luxembourgeois des affaires étrangères et européennes renseigne de manière exhaustive la liste des documents de voyage approuvée par la Commission Européenne et reconnus par les États membres de Schengen et qui contient les:
Le lien ci-dessus indique surtout les documents officiels d’identité (personnes physiques) autorisés dans les États tiers.
- Le « PRADO » : registre (mondial) public en ligne de documents authentiques d’identité et de voyage du Conseil européen recense et permet de chercher des documents par pays de délivrance ou par titre de document.
Cet outil est très complet et peut s’avérer très utile pour évaluer l’authenticité de documents d’identité pour les pays tiers. Il comprend les références et photos nécessaires à une évaluation pratique dans le chef du professionnel :
http://www.consilium.europa.eu/prado/fr/prado-documents/ARE/B/O/docs-per-type.html
(voir aussi la version anglaise)
L’arrêté français du 16 avril 2014 fixant la liste des pièces justificatives pour l’exercice du droit au compte auprès de la Banque de France (JORF n°0106 du 7 mai 2014 page 7762) fournit une liste substantielle de pièces justificatives d’identité/ de domicile pour exercer le droit, tant pour les personnes physiques que pour les personnes morales.
Le professionnel s’y référera utilement pour alimenter sa liste de pièces justificatives :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028905503&categorieLien=id
- La doctrine luxembourgeoise propose notamment des éléments d’identification et de vérification de l’identité des clients personnes physiques et personnes morales
Voir « Check List des documents d’identification et de vérification », La lutte contre le blanchiment d’argent de Thierry POULIQUEN , éditions Promoculture Larcier (p.399)
Le « joint money laundering steering group » britannique a émis des orientations LBC/FT dont une partie réfère aux documents permettant de vérifier l’identité des clients personnes physiques.
Voy. http://www.jmlsg.org.uk/ , points 5.3.73 et suivants du premier guide.
Il est très clairement précisé que ceux-ci peuvent émaner soit :
(i) d’un document officiel émis par l’administration de l’Etat (« government issued document ») incluant soit les nom/prénom(s) de l’individu accompagné de sa photo ET :
– l’adresse où il réside ou
– sa date de naissance.
Par ex. : passeport en cours de validité, permis de conduire en cours de validité, carte nationale d’identité, permis de port d’arme, carte d’électeur
(ii) d’un document d’Etat (« Government issued »), d’un tribunal ou d’une autorité locale (impliquant l’absence d’une photo d’identité incluant les nom/prénoms du client,
- complété par un second document émis par une administration de l’Etat, une autorité judiciaire, une entité/autorité publique, une compagnie du service public, une entité régulé par l’autorité de supervision du secteur bancaire/financier incluant :
– l’adresse où le client réside ou
– sa date de naissance.
Par ex: permis de conduire en cours de validité, document/certificat administratif attestant de l’octroi d’une aide (logement/ crédit d’impôt/pension –retraite/ bourse (…), convocations/significations/mises en demeure, documents de type taxe d’habitation etc…