Introduction

Le présent document s’inscrit dans le cadre du plan d’action de l’ABBL contre le blanchiment dont l’objet est d’amener ses membres à un niveau d’exigence exemplaire en matière de lutte contre le blanchiment d’argent et le financement du terrorisme tout en contribuant à la réputation de la place financière.

Pour les besoins du présent document, les termes « lutte contre le blanchiment d’argent » couvriront tant la lutte contre le blanchiment proprement dit que la lutte contre le financement du terrorisme et de la prolifération illicite des armes de destruction massive, en abrégé LBC/FT .

En effet, la participation efficace des établissements de crédit et autres professionnels du secteur financier de la lutte contre le blanchiment d’argent présuppose une bonne connaissance du dispositif législatif et réglementaire.

L’objet de ce document consiste à les assister dans la mise en œuvre efficace de leurs obligations, conformément aux dispositions légales et réglementaires applicables en la matière, et à apporter quelques précisions quant à la mise en pratique de la législation. L’ABBL ne vise ni à imposer de nouvelles obligations professionnelles aux établissements de crédit et autres professionnels du secteur financier, ni à interpréter la règle de droit.

La prévention de l’utilisation des circuits financiers à des fins de blanchiment de capitaux est une priorité et les acteurs de la place financière coopèrent en vue de l’application des mesures adoptées tant au niveau national qu’international. Il importe ce faisant, dans l’application de ces règles, de veiller à ce que cette action s’inscrive dans un juste équilibre entre, d’une part, l’extrême vigilance à l’égard des opérations bancaires et financières qui pourraient s’avérer suspectes et, d’autre part, le respect de la vie privée. Le risque d’être utilisé à des fins de blanchiment ne doit pas être sous-estimé, mais il ne doit pas non plus être surestimé. Une approche ciblée quant au risque réel doit être adoptée par chaque professionnel du secteur financier. Celle-ci doit reposer sur une bonne connaissance de son niveau de risque et une adaptation de ses procédures internes à celui-ci.

La loi modifiée du 5 avril 1993 relative au secteur financier ainsi que la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et le financement du terrorisme (« la Loi ») imposent des exigences strictes en matière de lutte contre le blanchiment d’argent entre autres aux établissements de crédit et autres professionnels du secteur financier (PSF). Pour les besoins du présent document, le terme « professionnel » désignera indifféremment les établissements de crédit et autres professionnels du secteur financier.

En vertu de l’article 39 de la loi du 5 avril 1993 relative au secteur financier, tel que modifié notamment par la loi du 13 février 2018, les professionnels sont soumis, en matière de lutte contre le blanchiment d’argent, essentiellement à trois catégories d’obligations professionnelles, soit les obligations de vigilance à l’égard de la clientèle, d’organisation interne adéquate et de coopération avec les autorités.

La première partie de ce document s’attachera à examiner certains aspects particuliers relatifs aux infractions primaires de blanchiment et au champ d’application matériel et personnel des obligations professionnelles. La seconde partie sera consacrée au contenu des obligations professionnelles, ainsi qu’aux meilleures pratiques identifiées permettant de guider les professionnels dans la mise en œuvre de la règlementation.

Étant entendu que les recommandations du Groupe d’Action Financière (« GAFI ») constituent le standard international relatif à la lutte contre le blanchiment d’argent et le financement du terrorisme, un tableau de correspondance des équivalences entre celles-ci et la structure du présent Vade-Mecum figure dans l’annexe I infra.

Le présent Vade-Mecum n’a pas vocation à fournir des conseils juridiques et n’a aucune valeur normative. L’objectif de cette publication est notamment de faciliter la lecture du cadre légal de la LBC/FT sur la base des interprétations, de la compréhension et des hypothèses acceptées par les acteurs financiers.

Bien que tous les efforts nécessaires aient été déployés afin de garantir que les informations ici contenues soient pertinentes et actuelles à la date de publication, elles ne sont pas exhaustives.

Ainsi, le contenu de ce document est susceptible de changer en fonction des lois et règlements et, le cas échéant, des mises à jour et éclaircissements qui seront apportés par la CSSF. Ce faisant, le Vade-Mecum pourra être mis à jour et complété à l’avenir.

Utilisation du document

Afin de déterminer si un professionnel doit procéder à une déclaration de soupçon de blanchiment, il convient au préalable de connaître les infractions dont l’objet ou le produit peuvent donner lieu à une infraction de blanchiment, sans avoir toutefois à qualifier l’infraction (Section 1 : Les infractions primaires).

La transposition en droit luxembourgeois de la directive (UE) 2018/1673 visant à lutter contre le blanchiment de capitaux au moyen du droit pénal verra l’infraction de blanchiment étendue à tous les crimes et à tous délits.   

Au-delà du champ d’application de la loi luxembourgeoise à certaines catégories d’infractions, les professionnels doivent par ailleurs tenir compte de la loi pénale du pays d’accueil dans le cadre d’une activité transfrontalière (Section 2 : Les risques liés à l’exercice transfrontalier d’activités bancaires et financières).

Section 1. Les infractions de blanchiment et de financement du terrorisme

1. Les infractions primaires

L’article 506-1 du Code pénal contient une liste d’infractions primaires qui comporte deux volets : d’une part des infractions expressément désignées comme infractions primaires, d’autre part une liste « ouverte » définie suivant un seuil de peine et comportant toutes les infractions punies d’une peine privative de liberté d’un minimum supérieur à six mois.

Cette approche correspond aux recommandations n°3 (infraction de blanchiment de capitaux) et n°5 (infraction de financement du terrorisme) du GAFI :
« les infractions sous-jacentes peuvent être définies par rapport à un seuil lié soit à une catégorie d’infractions graves, soit à la peine privative de liberté dont est passible l’infraction sous-jacente (méthode du seuil), par rapport à une liste d’infractions sous-jacentes ou par une combinaison de ces méthodes ».

« La notion d’infraction primaire vise toutes les infractions englobées par l’article 506-1 du code pénal. En pratique, cette liste comprend la plupart des infractions graves dont dispose le code pénal (p.ex. : banqueroute, corruption, enlèvement, exploitation sexuelle, faux, escroquerie, meurtre, traite des êtres humains, vol, etc.) ou certaines lois spéciales (p.ex. : contrefaçon, infractions fiscales pénales, infractions contre l’environnement, trafic illicite de stupéfiants et substances psychotropes, etc.) ».

Les infractions de blanchiment sont également punissables lorsque l’infraction primaire a été commise à l’étranger. Toutefois, cette infraction doit être punissable dans l’État où elle a été commise.

2. Les éléments constitutifs de l’infraction de blanchiment

L’infraction de blanchiment telle que renseignée à l’article 506-1 du Code pénal, élément légal, ne peut être reconnue par les tribunaux répressifs que si celle-ci coexiste à la fois avec un élément matériel et un élément intentionnel.

2.1 L’élément matériel

L’élément matériel correspond à la matérialisation d’un agissement/comportement qui va venir qualifier l’acte de blanchiment. La ligne directrice de la cellule de renseignement financier (CRF) « Déclaration d’opérations suspectes » reprend les 3 types de comportement caractérisant les infractions de blanchiment :

« Les infractions de blanchiment et sous-jacentes associées, définies à l’article 506-1 du code pénal et à l’article 8 paragraphe 1 a) et b) de la loi modifiée du 19 février 1973 concernant la vente de substances médicamenteuses et la lutte contre la toxicomanie, visent trois types de comportements :

1. ceux qui ont sciemment facilité, par tout moyen, la justification mensongère de la nature, de l’origine, de l’emplacement, de la disposition, du mouvement ou de la propriété́ des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions,
2. ceux qui ont sciemment apporté leur concours à une opération de placement, de dissimulation, de déguisement, de transfert ou de conversion des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions
3. ceux qui ont acquis, détenu ou utilisé des biens visés à l’article 31 paragraphe 2, point 1° formant l’objet ou le produit, direct ou indirect, d’une ou de plusieurs infractions primaires ou constituant un avantage patrimonial quelconque tiré de l’une ou de plusieurs de ces infractions.

« Le blanchiment consiste dans tout acte ayant trait au produit ou à l’objet, c’est à dire à tout avantage économique, tiré de l’infraction primaire. (…) La définition légale du blanchiment est très large et vise un ensemble de stratagèmes qui ont tous pour but de procurer une justification mensongère de l’origine des biens formant l’objet ou le produit tirés des infractions primaires ».

2.2 L’élément intentionnel

L’élément intentionnel est déterminant pour commettre l’infraction de blanchiment. Ainsi, toute personne ayant « sciemment » commis l’acte incriminé/référé à l’article 506-1 du Code pénal, ensemble avec l’élément matériel, viendra matérialiser l’infraction de blanchiment. Celui qui commet l’acte sait donc que les fonds utilisés proviennent d’une activité illicite.

3. Éléments spécifiques à certaines infractions primaires

3.1 L’infraction de financement du terrorisme

«L’infraction de financement du terrorisme, définie à l’article 135-5 du code pénal, consiste à fournir ou réunir par quelque moyen que ce soit, directement ou indirectement, illicitement et délibérément, des fonds, des valeurs ou des biens de toute nature, dans l’intention de les voir utilisés ou en sachant qu’ils seront utilisés, en tout ou en partie, en vue de commettre ou tenter de commettre une ou plusieurs infractions (voy. tableau infra) définies dans le code pénal, même s’ils n’ont pas été effectivement utilisés pour commettre ou tenter de commettre une de ces infractions, ou s’ils ne sont pas liés à un ou plusieurs actes terroristes spécifiques ».

«  Sont compris dans le terme «fonds» des biens de toute nature, corporels ou incorporels, mobiliers ou immobiliers, acquis par quelque moyen que ce soit, et des documents ou instruments juridiques sous quelque forme que ce soit, y compris sous forme électronique ou numérique, qui attestent un droit de propriété ou un intérêt sur ces biens et les crédits bancaires, les chèques de voyage, les chèques bancaires, les mandats, les actions, les titres, les obligations, les traites et les lettres de crédit, sans que cette énumération ne soit limitative ». 

La recommandation n°5 du GAFI explique ainsi que le financement du terrorisme comprend le fait de financer les voyages de personnes qui se rendent dans un État autre que leur État de résidence ou de nationalité, dans le dessein de commettre, d’organiser ou de préparer des actes de terrorisme, ou afin d’y participer ou de dispenser ou recevoir un entraînement au terrorisme.

3.2 Les infractions fiscales pénales

La 4ème directive anti-blanchiment introduit dans la définition d’« activité criminelle » pouvant donner lieu à un blanchiment :

« Toutes les infractions, y compris les infractions fiscales pénales liées aux impôts directs et indirects, (….) qui sont punissables d’une peine privative de liberté ou d’une mesure de sûreté d’une durée maximale supérieure à un an, ou, dans les États dont le système juridique prévoit un seuil minimal pour les infractions, toutes les infractions qui sont punissables d’une peine privative de liberté ou d’une mesure de sûreté d’une durée minimale supérieure à six mois».

Cette disposition a été transposée en droit luxembourgeois par la loi du 23 décembre 2016 qui introduit deux nouvelles infractions dans la liste des infractions primaires de blanchiment: 

• La fraude fiscale aggravée qui est définie selon des seuils d’impôt éludé ou de niveau de remboursement obtenu,
• l’escroquerie fiscale qui doit son caractère de gravité supplémentaire non seulement aux montants en jeu, mais aussi au fait que des moyens ont été employés en vue de tromper l’administration fiscale.

La fraude fiscale aggravée et l’escroquerie fiscale portent tant sur les impôts directs (impôts sur le revenu, droit d’enregistrement, droits de successions) que sur les impôts indirects (TVA). 

L’infraction de blanchiment est punissable pour les infractions primaires de fraude fiscale aggravée et d’escroquerie fiscale qui sont commises à partir du 1er janvier 2017.

La circulaire CSSF 17/650 contient notamment dans son annexe 1 une liste d’indicateurs susceptibles de révéler l’éventuel blanchiment d’une infraction primaire fiscale et auxquels les professionnels se réfèreront utilement. Il est à souligner que la présence d’un indicateur à lui seul ne permet pas d’en déduire l’existence d’une infraction primaire fiscale. Une nouvelle liste d’indicateurs propres aux activités de placement collectif a été introduite le 3 juillet 2020 dans la circulaire CSSF 20/744 (voir annexe 2).

Bien que le professionnel n’ait pas à qualifier l’infraction sous-jacente pour faire une déclaration de soupçons auprès de la CRF (voy. article 5 (1) a de la Loi), il convient qu’il connaisse les dépassements des seuils des infractions primaires fiscales incriminées. 

Dans le cadre d’un client, résident fiscal luxembourgeois, les seuils caractérisant les infractions sont les suivants :

« Celui qui se sera frauduleusement soustrait ou tenté de se soustraire au paiement total ou partiel des impôts, droits et taxes dont la perception est attribuée à l’Administration de l’enregistrement et des domaines à l’exception de la taxe sur la valeur ajoutée et que la fraude ainsi commise ou tentée porte, par période déclarative ou fait générateur, sur un montant supérieur au quart des droits dus sans être inférieur à 10.000 euros ou sur un montant supérieur à la somme de 200.000 euros, sera puni, pour fraude fiscale aggravée, d’un emprisonnement de un mois à trois ans et d’une amende de 25.000 euros à un montant représentant le sextuple des droits éludés. 

S’il a de façon systématique employé des manœuvres frauduleuses dans l’intention de dissimuler des faits pertinents à l’administration ou à la persuader des faits inexacts, et que la fraude ainsi commise ou tentée porte, par période déclarative ou fait générateur, sur un montant significatif soit en montant absolu soit en rapport avec les droits dus, l’auteur sera puni, pour escroquerie fiscale, d’un emprisonnement de un mois à cinq ans et d’une amende de 25.000 euros à un montant représentant le décuple des droits éludés ».

4. Du soupçon à la déclaration d’opération suspecte

L’obligation de coopération avec les autorités (Chap.7) impose aux professionnels « (…) d’informer sans délai, de leur propre initiative la cellule de renseignement financier lorsqu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté (…) ». 

Cette obligation requiert d’appréhender la notion de soupçon pour procéder le cas échéant à une déclaration auprès de la CRF.

4.1  La notion de soupçon

La CRF définit le soupçon comme « (…) une opinion défavorable à l’égard de quelqu’un, de son comportement, fondée sur des indices, des impressions, des intuitions, mais sans preuves précises. Ainsi pour déclarer un soupçon, [le professionnel ne doit] pas avoir la preuve d’un blanchiment, d’une infraction sous-jacente associée ou d’un financement du terrorisme ; il suffit de circonstances qui rendent telle hypothèse plausible ». 

« Les termes « soupçonnent » ou « ont des motifs raisonnables de soupçonner », signifient que l’institution financière doit qualifier de suspects les fonds impliqués, l’opération concernée, ou le fait considéré si l’analyse des informations recueillies, conformément aux obligations de vigilance et en vue de l’analyse, l’amène à former une opinion de suspicion (« soupçonnent ») ou comprend des éléments qui ne lui permettent pas raisonnablement d’écarter le doute (« ont des motifs raisonnables de soupçonner ») quant à la licéité de l’origine des sommes ou de l’opération ou quant à leur justification économique, juridique ou fiscale ».

« La détermination du soupçon doit être le fruit d’une démarche intellectuelle et la conclusion d’une analyse étayée. Elle ne peut pas être menée par les seuls systèmes automatisés mais requiert une intervention humaine fondée sur l’analyse des faits et opérations atypiques et de leurs circonstances, pour décider si ces faits ou opérations atypiques sont susceptibles d’être liés au BC/FT et doivent dès lors faire l’objet d’une déclaration à la (CRF) ou, inversement, que leur analyse permet d’écarter de tels soupçons et doit donner lieu à un classement sans suite ». 

4.2 Les origines du soupçon

Le professionnel peut soupçonner ou avoir des motifs raisonnables de soupçonner qu’un blanchiment est en cours, « (…) notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération ». 

« (…) ll n’y a aucun seuil monétaire minimal pour la déclaration d’une opération suspecte. Plusieurs facteurs peuvent entrer en ligne de compte, lesquels peuvent sembler sans importance s’ils sont pris individuellement, mais peuvent semer un doute s’ils sont combinés. En règle générale, toute opération ou transaction, tentée ou consommée, qui suscite des questions (de la part du professionnel), provoque (…) un malaise, de l’inquiétude ou de la méfiance peut être potentiellement liée à un blanchiment, une infraction sous-jacente associée ou à un financement du terrorisme. 

4.3 Exemples de soupçon de blanchiment

La CRF a établi des exemples d’indicateurs liés à la personne du client, à une opération/transaction et au comportement/profil du client et qui se réfèrent à des situations particulières.

Les indicateurs liés au client correspondent par exemple :

• à des antécédents judiciaires ou à un statut de PEP 
• à un comportement suspect/atypique
• à une réticence à fournir des documents justificatifs
• à la justification peu crédible de l’origine de ses avoirs
• à insister à l’ouverture rapide d’un compte

Les indicateurs liés à une opération ou transaction sont protéiformes.

« Le doute peut naître du fait que l’opération ou la transaction est la conséquence d’une fraude, de sa fréquence ou de son montant, de l’utilisation anormale de moyens de paiement, de l’interposition de personnes physiques ou morales, de l’utilisation d’intermédiaires financiers non réglementés, du destinataire des fonds ou du prix pratiqué. Plusieurs facteurs sont susceptibles de s’appliquer en même temps, ce qui rend d’autant plus plausible l’hypothèse d’un blanchiment, infraction sous-jacente associée ou financement du terrorisme ».

4.4 Synthèse du processus de déclaration

Le processus de déclaration à la CRF peut être résumé comme suit :

Section 2. Les risques liés à l’exercice transfrontalier d’activités bancaires et financières

Dans le cadre d’activités transfrontalières, la qualification juridique, différente par rapport au droit luxembourgeois, de faits ou d’actes par les législations étrangères, peut entraîner des risques juridiques accrus, notamment de nature pénale et réglementaire.

« Les États membres devraient veiller à ce qu’il n’y ait aucun obstacle à ce que les activités bénéficiant de la reconnaissance mutuelle puissent être exercées de la même manière que dans l’État membre d’origine, pour autant qu’elles ne soient pas en opposition avec les dispositions légales d’intérêt général en vigueur dans l’État membre d’accueil ».

« (…) les professionnels, leurs dirigeants et employés sont tenus d’informer sans délai, de leur propre initiative la CRF (…) »

Quant à l’obligation de déclaration d’opérations suspectes qui incombe à un établissement de droit étranger opérant en LPS au Luxembourg ou à une succursale luxembourgeoise, elle se définit d’après le droit luxembourgeois, ce qui implique que la déclaration de soupçon de blanchiment doit être faite auprès de la Cellule de Renseignement Financier de Luxembourg.

« (…) la notion de professionnel comprend également les succursales au Luxembourg de professionnels étrangers ainsi que les professionnels de droit étranger qui fournissent des prestations de service au Luxembourg sans y établir de succursale ».

Section 1. Les professionnels du secteur financier exerçant au Luxembourg

 

La Loi s’applique notamment aux « établissements de crédit et professionnels du secteur financier (PSF) agréés ou autorisés à exercer leur activité́ au Luxembourg en vertu de la loi modifiée du 5 avril 1993 relative au secteur financier (…)», aux établissements de paiement, aux établissements de monnaie électronique ainsi qu’aux « agents liés tels que définis à l’article 1^er de la loi modifiée du 5 avril 1993 relative au secteur financier et les agents tels que définis à l’article 1^er de la loi du 10 novembre 2009 relative aux services de paiement établis au Luxembourg ».

Le cercle des personnes soumises aux obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme est désormais étendu à toute personne exerçant l’activité de Family Office, aux personnes exerçant à titre professionnel au Luxembourg l’activité d’un prestataire de services aux sociétés et fiducies, aux prestataires de services de jeux d’argent et de hasard ainsi qu’ aux huissiers de justice.

Section 2. Application des obligations professionnelles aux filiales et succursales à l’étranger des professionnels exerçant au Luxembourg

1. Principe général

« Les institutions financières devraient être obligées de mettre en œuvre des programmes de LBC/FT. Les groupes financiers devraient être obligés de mettre en œuvre des programmes de LBC/FT à l’échelle du groupe, y compris des politiques et procédures de partage des informations au sein du groupe aux fins de LBC/FT. Les institutions financières devraient être obligées de s’assurer que leurs succursales et filiales majoritaires à l’étranger appliquent, au moyen des programmes du groupe financier contre le blanchiment de capitaux et le financement du terrorisme, des mesures de LBC/FT conformes aux obligations du pays d’origine mettant en œuvre les recommandations du GAFI ».

« Politiques et Procédures à l’échelle du groupe : 

Les professionnels qui font partie d’un groupe sont tenus de mettre en œuvre des politiques et des procédures à l’échelle du groupe, notamment des politiques de protection des données, ainsi que des politiques et des procédures relatives au partage des informations au sein du groupe aux fins de la lutte contre le blanchiment et contre le financement du terrorisme. Ces politiques et procédures doivent être mises en œuvre efficacement et de manière adaptée, en tenant compte notamment des risques de blanchiment et de financement du terrorisme identifiés et de la nature, des particularités, de la taille et de l’activité des succursales et filiales, au niveau des succursales et des filiales détenues majoritairement et établies dans les États membres et dans des pays tiers ».

« Les politiques et procédures à l’échelle du groupe incluent :

–  les politiques, contrôles et procédures prévus à l’article 4, paragraphes (1) et (2) ;

– la mise à disposition, dans les conditions de l’article 5, paragraphes (5) et (6), d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la lutte contre le blanchiment et contre le financement du terrorisme, aux fonctions de conformité, d’audit et de lutte contre le blanchiment et contre le financement du terrorisme au niveau du groupe. Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF. De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe ; et

– des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations ».

La directive (UE) 2013/34 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises définit le terme « groupe » comme « une entreprise mère et l’ensemble de ses entreprises filiales ».

Pour les établissements de crédit et les entreprises d’investissement tombant dans le champ dudit règlement, on note que le Règlement (UE) 575/2013 définit les termes de maison mère, filiale et succursale.

1.1 Dans un État membre

« Les professionnels qui exploitent des établissements dans un autre État membre veillent à ce que ces établissements respectent les dispositions nationales de cet autre État membre transposant la directive (UE) 2015/849 ».

1.2  « A l’étranger » : dans un État tiers

« Les professionnels sont tenus d’appliquer des mesures au moins équivalentes à celles prescrites (…)  par la directive (UE) 2015/849 ou par les mesures prises pour leur exécution en matière d’évaluation des risques, de vigilance à l’égard de la clientèle, de conservation des informations et pièces, d’organisation interne adéquate et de coopération avec les autorités dans leurs succursales et filiales détenues majoritairement situées à l’étranger ».

« Lorsque les normes minimales en matière de lutte contre le blanchiment et contre le financement du terrorisme dans un pays dans lequel un professionnel a des succursales et filiales détenues majoritairement sont différentes de celles applicables au Luxembourg, ces succursales et filiales doivent appliquer la norme la plus rigoureuse, dans la mesure où les textes législatifs et règlementaires du pays d’accueil le permettent ».

« Dans ce contexte, si les normes du pays dans lequel ces succursales et filiales sont situées sont moins strictes que celles prévues au Luxembourg, les règles de protection des données applicables au Luxembourg en matière de lutte contre le blanchiment et contre le financement du terrorisme doivent être respectées », dans la mesure où les textes législatifs et réglementaires du pays d’accueil le permettent.

« Les professionnels doivent veiller plus particulièrement au respect de ce principe s’agissant des succursales et filiales dans les pays à haut risque ». 

 

2. Filiales et succursales établies dans des pays tiers dont la réglementation ne permet pas d’appliquer les mesures équivalentes

« Si le droit d’un pays tiers ne permet pas de mettre en œuvre les politiques et procédures requises en application du paragraphe 1, les professionnels veillent à ce que leurs succursales et leurs filiales détenues majoritairement dans ce pays tiers appliquent des mesures supplémentaires pour traiter efficacement le risque de blanchiment de capitaux ou de financement du terrorisme, et en informent les autorités de contrôle et organismes d’autorégulation. Si ces mesures supplémentaires sont insuffisantes, les autorités de contrôle et organismes d’autorégulation mettent en œuvre des mesures de surveillance supplémentaires, notamment en exigeant que le groupe n’établisse pas de relations d’affaires ou qu’il y mette fin et qu’il n’effectue pas de transactions et, si nécessaire, en lui demandant de cesser ses activités dans le pays tiers concerné ».

Cette obligation s’avère tout particulièrement pertinente pour les «  pays présentant un risque plus élevé » selon le GAFI.

« Les établissements devraient veiller à ce que leurs filiales et leurs succursales adoptent des mesures visant à garantir que leurs opérations respectent le cadre légal et réglementaire local. Si le cadre légal et réglementaire local empêche l’application de procédures et de systèmes de vérification de la conformité plus stricts mis en œuvre par le groupe, notamment s’il empêche la divulgation et l’échange d’informations nécessaires entre entités au sein du groupe, les filiales et les succursales devraient informer le responsable de la conformité ou le directeur de la conformité de l’établissement consolidant ».

Le règlement délégué (UE) 2019/758 de la Commission (normes techniques de réglementation) permet au professionnel de se référer à certaines normes dans les contextes suivants :

(1) examens individuels des risques

(2) partage et traitement des données des clients

(3) divulgation des informations liées aux transactions suspectes

(4) transfert et conservation des données

2.1 Examens individuels des risques LBC/FT

« Lorsque le droit du pays tiers restreint ou interdit l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer correctement les risques de blanchiment de capitaux et de financement du terrorisme liés à une relation d’affaires ou à une transaction conclue à titre occasionnel en raison de restrictions d’accès aux informations pertinentes sur les clients et les bénéficiaires effectifs ou de restrictions sur l’utilisation de ces informations à des fins de vigilance à l’égard de la clientèle » :

Le professionnel veille au moins :

• « à communiquer à l’autorité compétente de l’État membre d’origine, sans délai indu et au plus tard 28 jours calendaires  après identification du pays tiers concerné :
  • le nom du pays tiers concerné ; et
  • la manière dont la mise en œuvre du droit du pays tiers interdit ou restreint l’application de politiques et de procédures qui sont nécessaires pour identifier et évaluer les risques de BC/FT liés à un client » ;
• à s’assurer que les filiales ou succursales détenues majoritairement, qui sont établies dans le pays tiers, déterminent si l’accord de leurs clients/bénéficiaires effectifs peut être utilisé pour contourner légalement les restrictions ou interdictions susvisées ;
• à faire en sorte que les filiales ou succursales détenues majoritairement qui sont établies dans le pays tiers exigent de leurs clients, et, le cas échéant, des bénéficiaires effectifs de leurs clients, qu’ils marquent leur accord pour contourner les restrictions et interdictions susvisées, dans la mesure où cela est compatible avec le droit du pays tiers.

Dans les cas où il n’est pas possible de recueillir l’accord du client/des BEs, « les établissements de crédit ou les établissements financiers prennent des mesures supplémentaires ainsi que leurs mesures types de LBC/FT pour gérer les risques de BC/FT ».

EXEMPLES DE MESURES SUPPLEMENTAIRES :

L’article 3 du règlement délégué 2019/758 prévoit qu’au moins deux mesures supplémentaires doivent le cas échéant être prises : la mesure visée à l’article 8 point c) et au moins une des mesures visées aux points a), b), d) e) et f).

Il conviendra donc de prendre nécessairement la mesure suivante :

• effectuer des examens renforcés, et notamment, lorsque cela est proportionné aux risques de BC/FT liés à l’exploitation de la succursale ou de la filiale détenue majoritairement, établie dans le pays tiers, des vérifications sur place ou des audits indépendants, afin de s’assurer que cette succursale ou la filiale évalue et gère efficacement les risques de BC/FT

Cette mesure devra être combinée avec au moins une autre mesure pertinente, tel que par exemple :

• s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers sollicitent l’approbation des membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier pour l’établissement et le maintien de la relation d’affaires à risque plus élevé, ou pour l’exécution d’une transaction occasionnelle à risque plus élevé ;
• s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers limitent la nature et le type de produits et services financiers fournis par la succursale/filiale dans le pays tiers à ceux qui présentent un risque faible LBC/FT et qui ont un impact faible sur l’exposition du groupe aux risques LBC/FT ;
• s’assurer que leurs filiales ou succursales majoritaires établies dans le pays tiers assurent un contrôle continu renforcé de la relation d’affaires, notamment un contrôle renforcé de la transaction, jusqu’à ce que les filiales et succursales majoritaires considèrent raisonnablement qu’elles comprennent les risques de BC/FT liés à la relation d’affaires.

Si un établissement de crédit ou un établissement financier ne peut gérer de manière efficace les risques de BC/FT en appliquant les mesures stipulées ci-dessus, l’établissement :

• « veille à ce que la filiale/succursale détenue majoritairement cesse la relation d’affaires ;
• veille à ce que la filiale/succursale détenue majoritairement n’exécute pas la transaction conclue à titre occasionnel ;
• met un terme à certaines ou à l’ensemble des activités assurées par sa succursale / filiale détenue majoritairement, établie dans le pays tiers ».

2.2  Le partage et le traitement de données des clients

Il est fait référence au règlement délégué eu égard à l’interdiction/restriction du partage  des données du client imposée par l’État tiers et les mesures préconisées y afférentes à accomplir à l’intérieur du groupe sont similaires à celles renseignées supra.

En bref, le professionnel doit :

• informer l’autorité compétente de son État membre d’origine
• obtenir le consentement de son client/BE le cas échéant pour autoriser la transmission d’informations
• prendre si besoin les mesure supplémentaires nécessaires pour surmonter le cas où le recueil du(des) consentement(s) n’est pas possible. Ces mesures supplémentaires comprennent la mesure supplémentaire visée à l’article 8, point a), ou la mesure supplémentaire visée au point c) de cet article.
• Si le risque de blanchiment de capitaux et de financement du terrorisme est suffisant pour nécessiter d’autres mesures supplémentaires, les établissements de crédit et les établissements financiers appliquent une ou plusieurs des autres mesures supplémentaires énoncées à l’article 8, points a) à c).

2.3  Divulgation au sein du groupe des informations liées aux transactions suspectes

« L’interdiction (de communication au client de la divulgation d’informations le concernant à la CRF) ne s’applique pas à la divulgation entre les établissements de crédit et les établissements financiers des États membres, à condition que ceux-ci appartiennent à un même groupe, ni entre ces établissements et leurs succursales et filiales détenues majoritairement situées dans des pays tiers, à condition que ces succursales et filiales détenues majoritairement respectent pleinement les politiques et procédures définies à l’échelle du groupe, y compris les procédures en matière de partage d’informations au sein du groupe, conformément à l’article 4-1 ou à l’article 45 de la directive (UE) 2015/849, et que les politiques et procédures définies à l’échelle du groupe respectent les exigences prévues dans la présente loi ou dans la directive (UE) 2015/849 ».

Cette exception doit être interprétée strictement en ce sens qu’elle n’a vocation à s’appliquer que dans un contexte intra-groupe.

« En ce qui concerne les professionnels qui font partie d’un groupe, ils sont tenus d’inclure dans leurs politiques et procédures à l’échelle du groupe, les politiques, contrôles et procédures prévues (par la Loi)  et la mise à disposition (…) d’informations provenant des succursales et filiales relatives aux clients, aux comptes et aux opérations, lorsqu’elles sont nécessaires, aux fins de la LBC/FT, aux fonctions de conformité, d’audit et de LBC/FT au niveau du groupe.

Sont visées les données et analyses des transactions ou des activités qui paraissent inhabituelles, si de telles analyses ont été réalisées, et les informations liées à des déclarations suspectes ou le fait qu’une telle déclaration a été transmise à la CRF.

De même, lorsque cela est pertinent et approprié pour la gestion des risques, les succursales et les filiales reçoivent également ces informations de la part des fonctions de conformité du groupe. Des garanties adéquates en matière de confidentialité et d’utilisation des informations échangées, y compris des garanties pour prévenir la divulgation d’informations, doivent être prévues ».

« Les informations concernant des soupçons selon lesquels des fonds proviennent d’un blanchiment, d’une infraction sous-jacente associée ou sont liés au financement du terrorisme qui ont été́ transmises à la CRF sont partagées au sein du groupe, sauf instruction contraire émanant de la CRF ».

2.4 Transfert de données des clients aux États membres dans le cadre de la supervision LBC/FT

« Lorsque le droit du pays tiers interdit ou restreint le transfert de données relatives aux clients d’une succursale ou d’une filiale détenue majoritairement, établie dans un pays tiers,  vers un État membre aux fins de la surveillance de la lutte contre le BC/FT (…) », le professionnel doit au moins en informer l’autorité compétente du pays d’origine comme indiqué supra au point 2.1.

Le professionnel, en sus, veille au moins à:

• effectuer des examens renforcés, des vérifications sur place ou des audits indépendants de la filiale/succursale du pays tiers ;
• exiger que la succursale / filiale détenue majoritairement, établie dans le pays tiers, fournisse régulièrement toutes informations utiles aux membres d’un niveau élevé de la hiérarchie de l’établissement de crédit ou de l’établissement financier, telles que :
  • le nombre de clients à haut risque ;
  • le nombre de transactions suspectes identifiées et signalées ;
• rendre l’information disponible à l’autorité compétente de l’État membre d’origine lorsqu’elle le requiert.

Il existe trois niveaux d’évaluation des risques :

• Une évaluation supranationale des risques opérée au niveau européen, dont les résultats ont été publiés par la Commission européenne le 26 juin 2017 et mis à jour le 24 juillet 2019.

• Une évaluation nationale des risques que chaque État membre doit réaliser de sorte à évaluer le niveau de risque propre aux activités opérées sur son territoire.

Le Luxembourg a mis à jour son évaluation nationale des risques en matière de BC et de FT le 15 décembre 2020.  Un résumé concis de l’évaluation nationale des risques est mis à disposition des professionnels.

« Chaque État membre met rapidement à la disposition des professionnels des informations appropriées leur permettant de réaliser plus facilement leurs propres évaluations des risques de BC et de FT »;

• Une identification, évaluation et compréhension propre des risques par le professionnel qui doit permettre à celui-ci de déterminer quelles mesures de vigilance seront à appliquer à la relation d’affaires sur base de la matérialité du risque.

« A cette fin, le professionnel doit intégrer différentes sources dans ses procédures de gestion des risques, incluant :

• Le rapport supranational de la Commission européenne sur les risques de blanchiment et de financement du terrorisme (« Supra National Risk Assessment ») ;
• L’évaluation nationale des risques en matière de blanchiment de capitaux et de financement du terrorisme (« National Risk Assessment ») ;
• Les évaluations de risques BC/FT sous-sectorielles (« sub-sector Risk Assessments») ;
• Les Orientations conjointes émises par les 3 autorités européennes de surveillance (ESMA, EBA et EIOPA) sur les facteurs de risque de blanchiment de capitaux et de financement du terrorisme (« Risk factor Joint Guidelines ») ;
• Les publications de la CSSF y relatives ».

(voy. infra « l’obligation d’effectuer une évaluation des risques »).

Section 1. Identification et évaluation des risques

« (…) Les pays devraient identifier, évaluer et comprendre les risques de BC et de FT auxquels ils sont exposés et devraient prendre des mesures (…) et mobiliser des ressources afin de s’assurer que les risques sont efficacement atténués. (…) les pays devraient appliquer une approche fondée sur les risques pour s’assurer que les mesures de prévention et d’atténuation du BC et du FT sont à la mesure des risques identifiés ».  Cette recommandation a été mise à jour par le GAFI en novembre 2020 afin que les professionnels identifient, évaluent et atténuent les risques de violations potentielles de non application ou de contournement des sanctions financières relatives au financement de la prolifération.

Tant la Loi que le règlement CSSF n°12-02 demandent aux professionnels de procéder à une identification et à une évaluation des risques de blanchiment et de financement du terrorisme auxquels ils sont exposés.

En sus de l’obligation d’évaluation du risque global par le professionnel en rapport avec son activité, celui-ci procède aussi à une classification des risques individuels concernant ses relations d’affaires.

Le professionnel classe l’ensemble de sa clientèle suivant une combinaison cohérente de facteurs de risque.

« En dehors des cas où le niveau de risque est à considérer comme élevé en vertu de la Loi ou du Règlement grand-ducal, ce niveau est évalué suivant une combinaison cohérente de facteurs de risque définis par chaque professionnel en fonction de l’activité qu’il exerce et qui sont inhérents aux catégories de risques suivants :

–  type de clients (incluant le client, mandataire, bénéficiaire effectif) ;

–  pays et zones géographiques ;

–  produits, services, transactions ou; 

– canaux de distribution ».

« Les professionnels déterminent l’étendue des mesures de vigilance (à l’égard de la clientèle) en fonction de leur appréciation des risques liés aux types de clients, aux pays ou zones géographiques et aux produits, services, transactions ou canaux de distribution particuliers ».

« 1) Les professionnels prennent des mesures appropriées pour identifier, évaluer et comprendre les risques de blanchiment et de financement du terrorisme auxquels ils sont exposés, en tenant compte des facteurs de risques, y compris ceux liés à leurs clients, pays, zones géographiques, produits, services, transactions ou canaux de distribution. Ces mesures sont proportionnées à la nature et à la taille des professionnels».

« 2)  Les professionnels envisagent tous les facteurs de risques pertinents avant de déterminer le niveau de risque global et le niveau et le type de mesures appropriées à appliquer pour gérer et atténuer ces risques. Les professionnels s’assurent en outre que les informations sur les risques contenues dans l’évaluation nationale et supranationale des risques ou communiquées par les autorités de contrôle, les organismes d’autorégulation ou les autorités européennes de surveillance soient intégrées dans leur évaluation des risques.

Les professionnels sont tenus de documenter, tenir à jour et de mettre à la disposition des autorités de contrôle et organismes d’autorégulation les évaluations des risques visées au paragraphe (1). Les autorités de contrôle et les organismes d’autorégulation peuvent décider que des évaluations des risques individuelles et documentées ne sont pas obligatoires si les risques spécifiques inhérents au secteur sont clairement identifiés et compris.

3)  Les professionnels doivent identifier et évaluer les risques de blanchiment et de financement du terrorisme pouvant résulter du développement de nouveaux produits et de nouvelles pratiques commerciales, y compris les nouveaux mécanismes de distribution, et de l’utilisation de technologies nouvelles ou en développement en lien avec de nouveaux produits ou les produits préexistants.

Les professionnels doivent :
a) évaluer les risques avant le lancement ou l’utilisation de ces produits, pratiques et technologies ; et b) prendre des mesures appropriées pour gérer et atténuer ces risques ».

 

L’OBLIGATION D’EFFECTUER UNE EVALUATION DES RISQUES

Facteurs de risques

 

 

Sous-section 1. Facteurs et types d’éléments indicatifs d’un risque potentiellement plus élevé visés à l’article 3-2, paragraphe (I), alinéa 2 de la Loi

Les risques spécifiques repris ici seront développés plus en avant dans des sections dédiées  par secteurs d’activités.

Le professionnel retiendra notamment un risque potentiellement plus élevé dans les cas de figure ci-dessous :

1.1 Facteurs de risques inhérents aux clients 

1. relation d’affaires se déroulant dans des circonstances inhabituelles
2. clients résidant dans des zones géographiques à haut risque (…)
3. personnes morales ou constructions juridiques qui sont des structures de détention d’actifs personnels
4. sociétés dont le capital est détenu par des actionnaires apparents (nominee shareholders) ou représenté par des actions au porteur
5. activités nécessitant beaucoup d’espèces
6. sociétés dont la structure de propriété paraît inhabituelle ou exagérément complexe au regard de la nature de leurs activités
7. client ressortissant d’un pays tiers qui demande des droits de séjour ou la citoyenneté dans l’État membre moyennant des transferts de capitaux, l’achat de propriétés ou d’obligations d’État ou encore d’investissements dans des sociétés privées dans cet État membre.

Outre les facteurs de risque plus élevés inhérents aux clients, le professionnel devra toujours intégrer les variables de  risque ci-dessous à l’égard de son client : 

 

« Les professionnels prennent en considération, dans leur évaluation des risques de blanchiment et de financement du terrorisme, liés aux types de clients, aux pays et zones géographiques et aux produits, services, opérations ou canaux de distribution particuliers, les variables de risques liées à ces catégories de risques. Ces variables, prises en compte de manière individuelle ou combinée, peuvent augmenter ou diminuer le risque potentiel et, par conséquent, avoir une incidence sur le niveau approprié des mesures de vigilance à mettre en œuvre ».

1.2 Facteurs de risques liés aux produits/services/transactions/canaux de distribution

a) banque privée ;

b) produits ou transactions susceptibles de favoriser l’anonymat ;

c)  relations d’affaires ou transactions qui n’impliquent pas la présence physique des parties et qui ne sont pas assorties de certaines garanties telles que des moyens d’identification électronique, des services de confiance pertinents au sens du règlement (UE) n° 910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées;

d) paiements reçus de tiers inconnus ou non associés ;

e) nouveaux produits et nouvelles pratiques commerciales, notamment les nouveaux mécanismes de distribution, et utilisation de technologies nouvelles ou en cours de développement pour des produits nouveaux ou préexistants.

f)  transactions liées au pétrole, aux armes, aux métaux précieux, aux produits du tabac, aux biens culturels et autres objets ayant une valeur archéologique, historique, culturelle et religieuse, ou une valeur scientifique rare, ainsi qu’à l’ivoire et aux espèces protégées ».

1.3 Facteurs de risque géographique

Les facteurs/types d’éléments indicatifs d’un risque potentiellement plus élevé sont les suivants:

« a)  (…) les pays identifiés par des sources crédibles, telles que des évaluations mutuelles, des rapports d’évaluation détaillée ou des rapports de suivi publiés, comme n’étant pas dotés de systèmes efficaces de lutte contre le blanchiment et contre le financement du terrorisme ;

(voir par ex. les évaluations mutuelles ou rapports d’évaluation du GAFI)

b)  pays identifiés par des sources crédibles comme présentant des niveaux significatifs de corruption ou d’autre activité criminelle (voir par ex. la liste des pays (corruption) publiée par Transparency International)

c)  pays faisant l’objet de sanctions, d’embargos ou d’autres mesures similaires imposés, par exemple, par l’Union européenne ou par les Nations unies (voir liste des sanctions du Conseil de Sécurité des Nations Unies) ;

d)  pays qui financent ou soutiennent des activités terroristes ou sur le territoire desquels opèrent des organisations terroristes désignées ».

« Les autorités de contrôle et les organismes d’autorégulation fournissent aux professionnels des informations sur les pays qui n’appliquent pas ou appliquent insuffisamment les mesures de lutte contre le blanchiment et contre le financement du terrorisme et notamment sur les préoccupations suscitées par les défaillances des dispositifs de lutte contre le blanchiment et contre le financement du terrorisme des pays concernés.

Les autorités de contrôle peuvent imposer aux établissements de crédit et aux établissements financiers d’adopter une ou plusieurs des mesures de vigilance renforcées et proportionnées aux risques (…), dans le cadre de relations d’affaires et de transactions avec des personnes physiques ou des entités juridiques impliquant de tels pays ».

1.4 Les sanctions financières internationales

A) L’essentiel sur les sanctions financières internationales

Les sanctions financières sont des mesures restrictives en matière financière prises à l’encontre de certains États, personnes physiques ou morales, d’entités et de groupes concernant un changement de politique (intérieure ou étrangère) ou d’activité de la part des États ou des personnes désignés.

Le Ministère des Finances est compétent pour traiter de toutes les questions relatives à la mise en œuvre des sanctions financières tant par ceux visés par ces mesures que par ceux qui sont tenus de les appliquer.

Par conséquent, les professionnels informent le Ministère des Finances de l’exécution de chaque mesure restrictive (y compris les tentatives de transactions) prise à l’égard d’un État, d’une personne physique ou morale, d’une entité ou d’un groupe désigné conformément à la loi du 19 décembre 2020 relative à la mise en œuvre de mesures restrictives en matière financière.

Dans le même ordre d’idées, les professionnels qui ont signalé un cas de sanction au Ministère des Finances adressent simultanément à la CSSF une copie de ce rapport.

La CSSF reste l’autorité de surveillance compétente, qui vérifiera le respect par les professionnels de la loi sur les mesures restrictives en matière financière. Par conséquent, la CSSF pourra appliquer des sanctions administratives aux professionnels qui ne mettraient pas en œuvre les procédures/processus appropriés à cet égard.

Toute notification au Ministère des Finances et associée à des mesures restrictives sera effectuée sans préjudice pour les professionnels de faire, le cas échéant, des déclarations d’activités/transactions suspectes à la Cellule de Renseignements Financiers.

La Commission européenne a estimé dans un avis du 7 juin 2019 que tous les fonds et ressources économiques qui appartenaient aux entités énumérées à l’annexe VI du règlement 2016/44 englobent les intérêts, les dividendes ou autres revenus d’actifs ou plus-values perçus sur les actifs gelés.

 

B) Clarifications spécifiques liées au régime des sanctions financières nationales/internationales

CHAMP D’APPLICATION DU SCREENING du règlement CSSF 12-02 :

Les professionnels doivent mettre en place des mécanismes de contrôle qui leur permettent, lors de l’acceptation des clients ou du suivi des relations d’affaires, d’identifier, entre autres :

• les personnes visées aux articles 30, 31 et 33 du règlement ;
  les fonds en provenance ou à destination des Etats, personnes, entités ou groupes visés à l’article 33 du présent règlement (…) »

Le filtrage des noms doit inclure tous les comptes des clients et leurs transactions et s’applique aux clients, mandataires, initiateurs et bénéficiaires effectifs ainsi que, en ce qui concerne la surveillance des transferts de fonds, au payeur d’un transfert de fonds entrant et au destinataire d’un transfert de fonds sortant du compte du client.

CALENDRIER ET FRÉQUENCE DES FILTRAGES

Les professionnels doivent procéder à un filtrage de noms :

1. avant d’établir une nouvelle relation d’affaires;
2. avant d’effectuer des virements par débit du compte du client ou avant de créditer des fonds entrants sur les comptes des clients ;
3. lors de relations d’affaires de longue date.

Dans son rapport annuel d’activité de 2014, la CSSF a indiqué que  » Les contrôles tels que le « name matching », c’est-à-dire les contrôles sur la base de données clients effectués en relation avec :

• des actes directement applicables au Luxembourg, tels qu’adoptés par l’UE (en particulier, les règlements de l’UE) et comprenant des interdictions et des mesures financières restrictives à l’encontre de certaines personnes, entités ou groupes respectivement i. dans le cadre de la lutte contre le financement du terrorisme ou ii. dans le cadre d’autres embargos financiers ; et
• les textes réglementaires nationaux concernant les sanctions financières relatives à la lutte contre le financement du terrorisme basés (sur la loi du 27 octobre 2010) mettant en œuvre les résolutions du Conseil de sécurité des Nations unies (et règlement grand-ducal du 29 règlementaires

 » doit être effectué sans délai après la publication de chaque nouvel amendement « .

Ces contrôles sont indépendants de toute autre fréquence de contrôle, de quelque nature que ce soit (par exemple, en matière de détection des PPE), qui aurait été mise en place par le professionnel « .

 » Sans délai  » signifie, dans le cadre de la mise en œuvre des sanctions financières, y compris le gel des avoirs ou d’autres ressources économiques ou d’autres mesures restrictives prises en application des textes susmentionnés :

 » un délai de, idéalement, quelques heures après la publication des mesures par la CSSF et/ou le Ministère des Finances « . En tout état de cause, il convient de l’interpréter en relation avec la nécessité d’empêcher la fuite ou la dispersion des fonds ou autres biens liés aux personnes, entités et groupes désignés.

1.5 Risques liés aux actifs virtuels (ou actifs cryptographiques) et aux prestataires de services liés aux actifs virtuels

Aperçu

Dans le contexte actuel de l’écosystème de croissance des transactions transfrontalières/numériques et de l’augmentation rapide des transactions impliquant des crypto-actifs, il est nécessaire de comprendre et d’atténuer les risques de blanchiment et de financement du terrorisme associés aux fournisseurs/activités de crypto-actifs. Les évaluations nationales des risques du Luxembourg de 2018 et 2020 ont mis en évidence les actifs virtuels (« VA ») comme l’un des principaux risques émergents et évolutifs de ML/TF.

Les banques sont exposées aux risques découlant des AV car elles sont le point de contact des utilisateurs d’échanges centralisés avec le secteur financier traditionnel. Les criminels qui utilisent des VA pour des activités de blanchiment d’argent ou de financement du terrorisme doivent convertir les VA en monnaie fiduciaire, ou vice-versa. À ces fins, les criminels utilisent des bourses, dont les dépôts et les retraits sont généralement effectués vers et depuis des comptes bancaires.

Les établissements de crédit sont exposés aux risques découlant des monnaies virtuelles (« VA ») principalement dans les circonstances où les clients des établissements de crédit et financiers réglementés traitent des VA ou lorsqu’ils sont des VASP. Les principaux facteurs contribuant à l’exposition accrue aux risques de blanchiment de capitaux et de financement du terrorisme sont la transparence limitée des transactions en monnaies virtuelles et l’identité des personnes impliquées dans ces transactions.

Le GAFI attire en effet l’attention sur les deux principales menaces liées au paysage des risques associés aux VAs :

• L’utilisation continue d’outils et de méthodes visant à accroître l’anonymat des transactions de VAs mettant en danger la « règle du voyage » (c’est-à-dire l’identification des initiateurs et des bénéficiaires des transactions de VAs), et donc potentiellement les procédures KYC mises en place par les VASP;

• Les VASP enregistrés ou opérant dans des juridictions qui ne disposent pas d’une réglementation efficace en matière de LBC/FT, révélant éventuellement la faiblesse des systèmes et procédures de LBC/FT.

Définitions

Les professionnels peuvent être impliqués dans des activités de VAs ou même agir en tant que Virtual Asset Service Providers (VASP).

Un actif virtuel est « une représentation numérique de la valeur, y compris une monnaie virtuelle, qui peut être échangée ou transférée numériquement, et peut être utilisée à des fins de paiement ou d’investissement, à l’exception des actifs virtuels qui remplissent les conditions de la monnaie électronique et des actifs virtuels qui remplissent les conditions des instruments financiers ».

Un VASP est toute personne fournissant, au nom ou pour le compte de son client, un ou plusieurs des services suivants :

(a) l’échange entre actifs virtuels et monnaies fiduciaires, y compris le service d’échange entre monnaies virtuelles et monnaies fiduciaires ;

(b) l’échange entre une ou plusieurs formes d’actifs virtuels ;

(c) le transfert d’actifs virtuels ;

(d) la garde ou l’administration d’actifs virtuels ou d’instruments permettant de contrôler des actifs virtuels, y compris le service de garde de portefeuilles ;

(e) la participation et la fourniture de services financiers liés à l’offre ou à la vente d’un actif virtuel par un émetteur.

Comprendre les VA et les VASP

Pour que les institutions financières puissent mieux appréhender les risques de blanchiment et de financement du terrorisme de leurs clients SVA, il est nécessaire de comprendre brièvement les risques de blanchiment et de financement du terrorisme auxquels ces derniers doivent faire face. L’exposition des VASP aux menaces de BC/FT est due à de multiples facteurs, dans la mesure où ces institutions financières sont exposées :

• Les relations d’affaires non présentielles
• La nature internationale des affaires
• Le volume élevé des transactions
• La complexité technologique des AV/ASP
• Les propriétés anonymes des VAs
• La forte volatilité et l’évaluation complexe des VA

Exposition potentielle des VASP à chaque étape du processus de BC/FT :

Atténuation des risques (aperçu général)

Atténuation des risques pour les clients traitant avec des monnaies virtuelles ou cryptées

Les professionnels doivent examiner le modèle d’entreprise de chaque VASP et déterminer s’ils:

• Opèrent comme une plateforme de négociation VA qui effectue des échanges entre la monnaie fiduciaire et la monnaie virtuelle;
• Opèrent en tant que plateforme d’échange de VA qui effectue des échanges entre des monnaies virtuelles;
• Opèrent comme une plateforme de négociation de VA qui permet des transactions peer-to-peer;
• Fournissent des services de garde de portefeuilles;
• Organisent, conseillent ou bénéficient d’une « offre initiale de pièces de monnaie » (ICO).

Établissements de crédit souhaitant offrir des services liés aux actifs virtuels

Les établissements de crédit qui ont l’intention d’offrir des services d’actifs virtuels, que ce soit dans le cadre de l’article 1 (20c) de la Loi ou de toute autre activité en relation avec des actifs virtuels (par exemple l’émission de jetons référencés comme actifs et de jetons de monnaie électronique ou la tenue d’archives dématérialisées via DLT), doivent soumettre et présenter au préalable à la CSSF un business case détaillé comprenant une évaluation des risques et bénéfices, les adaptations nécessaires de leur gouvernance et de leurs cadres de gestion des risques, le traitement efficace du risque de contrepartie et de concentration et la mise en œuvre des règles de protection des investisseurs.

En outre, si des professionnels souhaitent fournir un ou plusieurs des services visés à l’article 1 (20c) de la Loi, un dossier complet de demande d’enregistrement en tant que VASP doit être préalablement soumis à la CSSF. De plus amples détails concernant les procédures d’enregistrement des VASP peuvent être trouvés sous Enregistrement d’un fournisseur de services d’actifs virtuels (VASP) – CSSF.

1.6 Menaces liées au COVID 19

La crise sanitaire du COVID-19, qui évolue constamment dans le temps, est l’occasion pour les criminels d’exploiter les craintes et les menaces qui y sont liées, en adaptant leur modus operandi et en se lançant dans de nouvelles activités criminelles.

Les professionnels doivent faire tout leur possible pour maintenir des systèmes et des contrôles efficaces afin de s’assurer qu’ils ne sont pas détournés par ces criminels qui remanient des fraudes préexistantes.

• Menaces croissantes de ML/TF découlant du COVID-19 :

Trois menaces principales ont été identifiées par les autorités publiques, ces dernières rappelant que les moyens techniques et l’expertise utilisés par les criminels pour tromper les clients/employés de banque étaient fulgurants.

• Domaines spécifiques de vulnérabilité particulière :

Six domaines du secteur financier peuvent être particulièrement exploités par les menaces émergentes, comme suit :

(1) Les services de paiement en ligne

L’essor des achats en ligne augmente à la fois le volume et la valeur des services de paiement en ligne, y compris l’utilisation des services bancaires par Internet. Les criminels pourraient ainsi avoir davantage l’occasion de dissimuler des fonds illicites dans un plus grand nombre de paiements légitimes effectués en ligne.

(2) Clients en détresse financière

Les clients (personnes physiques et morales) peuvent être mis en situation de détresse financière en raison des résultats/ondes économiques de la crise sanitaire actuelle et donc plus enclins à être exploités par des criminels cherchant à blanchir des produits illicites.

(3) Hypothèques et autres formes de prêts garantis impliquant un calendrier de remboursement régulier conduisant à la détresse financière des clients.

(4) Crédit soutenu par des garanties gouvernementales permettant d’obtenir des fonds sans avoir l’intention de rembourser l’État.

(5) Produit d’investissement en difficulté (perte de valeur significative) dans lequel les investisseurs pourraient chercher à minimiser les pertes et à donner aux criminels la possibilité d’acheter/refinancer les actifs en difficulté.

(6) Fourniture d’aide par le biais d’organisations à but non lucratif :

Lorsqu’il y a une augmentation des flux financiers par l’intermédiaire d’organisations à but non lucratif vers des pays à haut risque, il peut y avoir un risque accru d’activité illicite et une attention particulière doit être accordée aux risques de TF.

Section 2. Gestion et atténuation des risques 

Les orientations finales sur les facteurs de risque publiées par le comité mixte des Autorités européennes de surveillance le 4 janvier 2018 contiennent des recommandations spécifiques propres à certains secteurs d’activités permettant le cas échéant d’atténuer les risques encourus. Elles sont reprises dans la circulaire CSSF 21/782 du 24 septembre 2021.

Aussi, les principes sur la gestion des risques figurant dans le Règlement CSSF n°12-02 seront d’abord rappelés avant d’introduire les suggestions sectorielles telles que préconisées par les Autorités européennes de surveillance.

2.1 Rappel des dispositions légales et réglementaires de l’article 4 de la Loi et du Règlement CSSF n° 12-02

« Les professionnels doivent mettre en place des politiques, contrôles et procédures pour atténuer et gérer efficacement les risques de blanchiment et de financement du terrorisme identifiés au niveau international, européen, national sectoriel et du professionnel lui-même ».

« (…) Ces politiques doivent être approuvés par le conseil d’administration du professionnel. Les procédures y relatives doivent être approuvées par la direction autorisée ou par le conseil d’administration pour les fonds sous la surveillance de la CSSF».

« (2) Les professionnels déterminent l’étendue des mesures de vigilance énoncées à l’article 3 paragraphe 2 de la Loi en fonction du niveau de risque attribué à chaque client (…). Lorsque des mesures de vigilance renforcées sont requises en vertu de la Loi ou du Règlement grand-ducal (du 1er février 2010) ou du présent règlement (CSSF n°12-02), toutes ces mesures doivent être appliquées, mais l’étendue de celles-ci peut varier en fonction du niveau spécifique de risque déterminé́ par le professionnel ».

« (3) L’adaptation de l’étendue des mesures de vigilance au niveau de risque s’effectuera dès le stade de l’identification et de la vérification de l’identité́ (…)».

2.2 Tableau récapitulatif des éléments clés d’atténuation des risques

(selon les orientations sur les facteurs de risque du comité mixte des autorités de surveillance bancaire européennes du 1er mars 2021)

(Voy. aussi l’annexe III de la Loi : « éléments indicatifs d’un risque potentiellement moins élevé ».)

2.3 Atténuation des facteurs de risque spécifiques selon les secteurs d’activités concernés

Le titre II des orientations finales sur les facteurs de risque publiées par le comité mixte des Autorités européennes de surveillance établit des lignes de risque sectorielles.

On retrouve par exemple les activités de banques correspondantes, banques de détail, gestion de patrimoine (banque privée) ou émission de monnaie électronique.

D’une manière générale, les orientations définissent tout d’abord les facteurs de risque sectoriels accrus puis mentionnent les critères susceptibles de réduire les risques en présence.

Les facteurs de risque repris ci-dessous ne sont pas exhaustifs. Ils peuvent utilement compléter ceux déterminés par le professionnel qui effectuera son analyse au cas par cas :

Banque de détail :

Gestion patrimoniale / Banque privée  

Dans le cadre de l’activité de banque privée tout particulièrement, le professionnel se réfère à l’annexe 1  de la Circulaire CSSF n°17/650 telle que récemment modifiée par la circulaire 20/744 du 3 juillet 2020 contenant des indicateurs susceptibles de révéler un éventuel blanchiment d’une infraction primaire fiscale.

Les infractions fiscales pénales et la circulaire CSSF n°17/650, sont commentées supra à la section 3 du chapitre I.

Banque correspondante : 

Émission de monnaie électronique :

Pour mémoire, la monnaie électronique est définie comme une valeur monétaire représentant une créance sur l’émetteur, qui est (i)  stockée sous une forme électronique, y compris magnétique, (ii)  émise contre la remise de fonds aux fins d’opérations de paiement, et 
(iii) acceptée par une personne physique ou morale autre que l’émetteur de monnaie électronique.

Elle ne doit pas être confondue avec les monnaies virtuelles aussi appelées « crypto-devises » ou « devises virtuelles».

 

Banque dépositaire

Les orientations sectorielles pour les fournisseurs de fonds d’investissement se concentrent surtout sur les gestionnaires de fonds d’investissement et les fonds d’investissement commercialisant leurs parts/actions, en vertu de l’article  3, paragraphe 2, points a) et d) de la 4ème directive anti-blanchiment. Elles sont néanmoins pertinentes pour le banquier dépositaire de fonds d’investissement :

 

L’ EVALUATION DES RISQUES LBC/FT PAR LA CSSF 

 

Depuis 2017, la CSSF procède à une enquête sur base annuelle en collectant des informations-clés standardisées concernant les risques de blanchiment de capitaux et de financement du terrorisme auxquels les professionnels assujettis sont exposés, tout comme les mesures d’atténuation des risques entreprises par ces derniers.

La CSSF se réfère notamment à la recommandation n°1 du GAFI eu égard à l’approche pays fondée sur les risques, tout comme à la 4ème directive anti-blanchiment.

Les réponses apportées par les professionnels aux « questionnaires risques » de la CSSF permettent à celle-ci d’évaluer si les mesures de prévention/atténuation mises en place par le professionnel sont appropriées aux risques auxquels le professionnel est effectivement confronté. La CSSF rend compte à chaque établissement des résultats de cette analyse.

« Il devrait être interdit aux institutions financières de tenir des comptes anonymes et des comptes sous des noms manifestement fictifs ». Ainsi, le professionnel est obligé de prendre des mesures de vigilance à l’égard de la clientèle dans certaines situations clairement définies, notamment :  

(i) l’établissement de relations d’affaires

(ii) l’exécution « d’opérations occasionnelles » (sous conditions)

(iii)  la suspicion de blanchiment ou de financement du terrorisme

(iv) un doute sur « la véracité ou de la pertinence des données d’identification du client précédemment obtenues ».

Le professionnel identifie et vérifie en particulier l’identité de son client, celle du bénéficiaire effectif en ce inclus des personnes morales et des constructions juridiques, obtient des informations sur l’objet et la nature envisagée de la relation d’affaires et exerce une vigilance constante à l’égard de cette relation. 

L’opération d’identification consiste à disposer du nom et de l’identité du client. L’identification peut ainsi se faire par le fait de compléter un formulaire de demande d’entrée en relation d’affaires et d’y indiquer le numéro d’un document d’identité.

L’opération de vérification quant à elle consiste à faire le lien avec la réalité en s’assurant que cette identité se rapporte effectivement à la personne avec laquelle on traite, que cette personne existe réellement et que les documents, données et informations sont respectivement fiables et probants.

EN QUOI CONSISTE L’OBLIGATION DE VIGILANCE ?

« Les mesures de vigilance à appliquer à l’égard de la clientèle doivent comprendre les mesures suivantes :

• L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations de source fiable et indépendante y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées;
• L’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, à l’aide des informations ou données pertinentes obtenues d’une source fiable et indépendante, de telle manière que le professionnel ait l’assurance de connaître ledit bénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client (…) ;
• L’évaluation et la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires ;
• L’exercice d’une vigilance constante quant à la relation d’affaires, notamment en examinant les transactions conclues pendant toute cette relation d’affaires et, si nécessaire, sur l’origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu’a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en s’assurant que les documents, données ou informations obtenus dans l’exercice du devoir de vigilance à l’égard de la clientèle restent à jour et pertinents. A cette fin, les professionnels examinent les éléments existants, et ceci en particulier pour les catégories de clients présentant des risques plus élevés ».

Section 1. Mesures de vigilance à l’égard de la clientèle

QUAND EXERCER LA VIGILANCE ?

« Les professionnels sont obligés d’appliquer des mesures de vigilance à l’égard de leur clientèle dans les cas suivants :
a) Lorsqu’ils nouent une relation d’affaires 
b) Lorsqu’ils exécutent, à titre occasionnel, une transaction :

1. d’un montant égal ou supérieur à 15.000 euros, que cette transaction soit exécutée en une seule ou en plusieurs opérations qui semblent être liées ; ou
2. constituant un transfert de fonds au sens de l’article 3, point 9) du règlement (UE) 2015/847 (…) supérieur à 1.000 euros.

« Le seuil de 1.000 euros (…) est également applicable aux opérations occasionnelles effectuées par les prestataires de services d’actifs virtuels ».

(…)

c) Lorsqu’il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables
d) Lorsqu’il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l’identification d’un client ».

Les professionnels sont tenus d’appliquer les procédures de vigilance à l’égard de leur clientèle non seulement à tous leurs nouveaux clients mais aussi, « aux moments opportuns », à la clientèle existante en fonction de leur appréciation des risques, en tenant compte de l’existence des procédures de vigilance relatives à la clientèle antérieures et du moment où elles ont été mises en œuvre, ou lorsque les éléments pertinents de la situation d’un client changent ou lorsque le professionnel, au cours de l’année civile considérée, est tenu, en raison d’une obligation légale, de contacter le client afin de réexaminer toute information pertinente en rapport avec le ou les bénéficiaires effectifs ou si cette obligation a incombé au professionnel en application de la loi modifiée du 18 décembre 2015 relative à la Norme commune de déclaration (NCD) ».

La définition de « moments opportuns en fonction de l’appréciation des risques » est donnée dans le Règlement grand-ducal du 1^er février 2010 tel que modifié.

« Il s’agit notamment d’une des situations suivantes :

« – une transaction significative intervient ;

-les normes relatives aux documents d’identification des clients changent substantiellement ;

-en matière d’activité bancaire, un changement important se produit dans la façon dont le compte d’un client fonctionne ;

-le professionnel s’aperçoit qu’il ne dispose pas d’informations adéquates sur un client.

Les professionnels doivent être en mesure de prouver aux autorités de contrôle ou aux organismes d’autorégulation que l’étendue et la fréquence des mesures de vigilance à l’égard de la clientèle sont appropriées au vu des risques de blanchiment et de financement du terrorisme ».

 

Sous-section 1. Processus d’acceptation

1. Politique d’acceptation du nouveau client

1.1  Mise en œuvre de procédures appropriées

« Les professionnels arrêtent et mettent en œuvre une politique d’acceptation des clients appropriée aux activités qu’ils exercent, permettant de soumettre l’entrée en relation d’affaires avec les clients à une identification, une évaluation et une compréhension préalable des risques (…) ».

1.2 Caractère préalable de l’identification et de la vérification de l’identité

« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires.  Lorsqu’ils nouent une nouvelle relation d’affaires avec une société ou une autre entité juridique, une fiducie, un trust ou une construction juridique présentant une structure ou des fonctions similaires à celles d’un trust pour lesquels des informations sur les bénéficiaires effectifs doivent être enregistrées en vertu de l’article 30 ou 31 de la directive (UE) 2015/849, les professionnels recueillent la preuve de l’enregistrement ou un extrait du registre ».

« La vérification de l’identité du client et du bénéficiaire effectif doit avoir lieu avant l’établissement d’une relation d’affaires ou l’exécution de la transaction ».

« Toutefois la vérification de l’identité du client et du bénéficiaire effectif peut avoir lieu durant l’établissement d’une relation d’affaires s’il est nécessaire de ne pas interrompre l’exercice normal des activités et lorsqu’il y a un faible risque de blanchiment ou de financement du terrorisme. Dans de telles situations, ces mesures sont prises le plus tôt possible après le premier contact et les professionnels prennent des mesures pour gérer efficacement le risque de blanchiment et de financement du terrorisme ».

« (…) les professionnels peuvent entreprendre une relation d’affaires, ouvrir un compte client ou effectuer une transaction pour un client occasionnel avant ou pendant que l’identité du client et du bénéficiaire effectif est vérifiée (…) pour autant que les conditions suivantes soient réunies:

• le risque de blanchiment et de financement du terrorisme est faible et efficacement géré ;
• il est nécessaire de ne pas interrompre le déroulement normal des affaires ;
• la vérification de l’identité est effectuée dans les plus brefs délais après le premier contact avec le client. L’impossibilité de vérifier l’identité du client et du bénéficiaire effectif dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôleaux fins requises
• des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification

(…)»

« Il pourrait être permis d’achever les obligations de vérification après l’établissement de la relation d’affaires, parce qu’il est essentiel de ne pas interrompre le déroulement normal des affaires », par ex. pour:

• « des opérations n’impliquant pas la présence physique des parties

• des opérations sur des valeurs mobilières. Dans le secteur des valeurs mobilières, les sociétés et intermédiaires peuvent être dans l’obligation d’exécuter des opérations très rapidement, aux conditions du marché valables au moment où le client les contacte, et la réalisation de l’opération peut être nécessaire avant que la vérification de l’identité ne soit terminée ».

1.3 Le Comité d’acceptation ou « autorisation écrite d’un supérieur ou organe spécifiquement habilité »

« (…) L’acceptation d’un nouveau client doit être soumise pour autorisation écrite à un supérieur ou à un organe du professionnel spécifiquement habilité à cet effet en prévoyant un niveau hiérarchique de décision adéquat ainsi que, le cas échéant, pour les clients présentant un niveau de risque plus élevé, au moins l’intervention systématique du responsable du contrôle».

« L’acceptation d’un nouveau client présentant un faible risque en matière de BC/FT, suivant l’approche fondée sur les risques telle que mise en place par le professionnel, peut être effectuée sur base d’un processus d’acceptation automatisé n’impliquant pas l’intervention d’une personne physique du côté du professionnel, de manière à constituer une alternative efficace et fiable à la validation par une personne physique du professionnel.

Ce processus doit avoir été configuré et testé préalablement et revu régulièrement par le professionnel de manière à analyser la robustesse de celui-ci. Ce processus doit être en ligne avec les politiques et procédures LBC/FT du professionnel et des instructions à émettre par la CSSF ».

1.4  Questionnaire d’entrée en relation d’affaires

« La politique d’acceptation des clients doit exiger la documentation de toute entrée en contact, quelle que soit sa forme, et doit prévoir, notamment, un questionnaire client adapté à la nature du contact et de la relation d’affaires ». 

« La politique d’acceptation des clients doit également prévoir les procédures à suivre lors d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’une infraction sous-jacente associée ou de financement du terrorisme en cas de non-aboutissement d’une entrée en contact avec un client potentiel. Les raisons d’un refus de la part du client ou du professionnel de nouer une relation d’affaires ou d’effectuer une transaction doivent être documentées et conservées (selon les modalités du règlement CSSF n°12-02) et ce, même si le refus de la part du professionnel ne découle pas de la constatation d’un indice de blanchiment ou de financement du terrorisme ».

2. Identification des clients et vérification de leur identité

L’identification du client et la vérification de son identité s’effectuent sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) » ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

2.1 Le client « personne physique »

2.1.1 Le titulaire

« Aux fins de l’identification des clients conformément à l’article 3 paragraphe 2, alinéa 1,  point a)  et alinéa 2 de la Loi, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes:

En ce qui concerne les clients qui sont des personnes physiques:

• nom(s) et prénom(s);
• lieu et date de naissance ;
• nationalité(s);
• adresse postale complète de la résidence principale du client ;
• le cas échéant, le numéro d’identification national officiel ».

« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».

Vérification de l’identité du client personne physique

(1) « La vérification de l’identité, au sens de l’article 3 paragraphe 2, alinéa 1, point a) de la Loi, des clients qui sont des personnes physiques doit se faire au minimum au moyen d’un document d’identification authentique officiel en cours de validité, émanant d’une autorité publique et muni de la signature et d’une photo du client, tel que (…) le passeport du client, sa carte d’identité, (…) sa carte de séjour, son permis de conduire ou tout autre document similaire ».

« Des moyens d’identification électronique, en ce compris les services de confiance pertinents prévus par le Règlement (UE) n° 910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées peuvent être utilisés par le professionnel pour remplir son obligation de vigilance visée à l’article 3 paragraphe 2, alinéa 1, point a) de la Loi ».

(2) « En fonction de leur évaluation des risques, et sans préjudice d’autres obligations renforcées de vigilance, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple, la vérification de l’adresse indiquée par le client au moyen d’un justificatif du domicile ou une prise de contact avec le client, notamment par courrier recommandé avec accusé de réception ».

2.1.2  Le mandataire/fondé de procuration du client personne physique incapable/mineur

Les pouvoirs de représentation des représentants légaux des clients qui sont des personnes physiques incapables, c.-à-d. qui font l’objet de mesures de tutelle/curatelle (ou analogues), ou mineures, doivent être vérifiés au moyen de documents susceptibles de faire preuve.

L’identification et la vérification de l’identité du mandataire du client doit par ailleurs être réalisée comme décrit au point 2.1.1. Le professionnel prendra copie des documents recueillis.

2.1.3  Le cas particulier du statut de réfugié ou DPI (Demande de Protection Internationale)

Même si l’attestation de dépôt de demande de protection internationale ne constitue qu’un élément partiel de vérification de l’identité du client au sens de la Loi, on relève qu’elle comporte le cachet du Ministère des Affaires Étrangères, ainsi que la signature d’un officiel de ce ministère, en plus de la photographie d’identité du demandeur en protection, de sa signature et des indications d’identité telles que requises par l’article 16 du Règlement CSSF n°12-02.

2.1.4 La Validité de la carte d’identité française périmée depuis moins de 5 ans

D’après la réglementation française, depuis le 1er janvier 2014, la durée de validité de la carte nationale d’identité est passée de 10 à 15 ans pour les personnes majeures (plus de 18 ans). L’allongement de cinq ans pour les cartes d’identité concerne :

• Les nouvelles cartes d’identité sécurisées (cartes plastifiées) délivrées à partir du 1er janvier 2014 à des personnes majeures ;
• Les cartes d’identité sécurisées délivrées (cartes plastifiées) entre le 2 janvier 2004 et le 31 décembre 2013 à des personnes majeures.

Si la carte d’identité a été délivrée entre le 2 janvier 2004 et le 31 décembre 2013, la prolongation de 5 ans de validité de la carte est automatique. La date de validité inscrite sur le titre ne sera pas modifiée. Pour les cartes en apparence périmées mais dont la validité est prolongée de 5 ans, le Luxembourg a officiellement confirmé qu’il l’accepte comme document de voyage.

2.1.5  Moyens d’identification électroniques de vérification de l’identité

A. Les mesures de vigilance à l’égard de la clientèle comprennent :

« L’identification du client et la vérification de son identité, sur la base de documents, de données ou d’informations obtenus de sources fiables et indépendantes, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance (…), ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

Le professionnel peut recourir à la vidéo conférence en utilisant un logiciel développé par lui-même, sinon par un fournisseur externe ou encore déléguer cette fonction « d’on-boarding » vidéo à une partie tierce. Seule une personne physique formée à cet effet peut utiliser le système de vidéo conférence et agir directement avec le prospect, excluant de fait l’interposition unique d’un robot sans garanties supplémentaires.

Seules des personnes physiques (le client, le représentant légal du client, le mandataire, le co-titulaire du compte ou le BE) peuvent utiliser la fonctionnalité et être identifiées par le professionnel.

L’utilisation de l’outil de vidéo-conférence n’est possible que si le professionnel n’a aucun soupçon de blanchiment/financement du terrorisme et que la véracité et la pertinence des documents préalablement soumis par le client ne peut être contestée.

Pendant l’identification du client, les données figurant sur les documents d’identité doivent être clairement lisibles et clairement identifiables (bonnes conditions de luminosité, le client ne doit pas être déguisé ni porter de couvre-chef couvrant une partie de son visage etc…). Seuls les documents d’identité officiels du pays émetteur qui contiennent des dispositifs de sécurité optiques (hologrammes, éléments d’impression spécifiques) sont autorisés pour la procédure de vérification. L’annexe V du Vademecum contient un lien très pratique au registre public en ligne de documents authentiques d’identité et de voyage pour les citoyens du monde entier, tel qu’établi par le Conseil de l’Union européenne.

Le professionnel doit garantir l’efficacité et la fiabilité du système et reste toujours responsable des obligations de vigilance à l’égard de la clientèle qui lui incombent.

Que faire ?

Les professionnels qui souhaitent utiliser des installations/systèmes vidéo à des fins d’accueil de clients à distance doivent prendre contact avec la CSSF pour décrire les systèmes qu’ils ont l’intention d’exploiter. La CSSF pourra formuler des remarques utiles, dont il faudra tenir compte avant d’utiliser le système.

L’avis du comité mixte explore notamment comment les solutions innovantes actuellement utilisées par les professionnels du secteur financier peuvent les aider à mieux remplir leurs obligations en matière de LBC/FT. Par exemple, les solutions impliquant une vérification à distance  des clients peuvent contenir des fonctionnalités particulières permettant de définir si la pièce d’identité présentée appartient effectivement à la personne qui la présente, en combinant plusieurs paramètres, notamment la reconnaissance faciale biométrique, les fonctions de sécurité du document et la reconnaissance des caractères optiques.

Ces innovations peuvent également améliorer considérablement les processus de surveillance des transactions des établissements de crédit et des institutions financières en les automatisant et en permettant d’extraire de manière instantanée des données pertinentes de plusieurs banques de données.

Il ressort du Règlement européen n°910/2014 depuis le 1er Juillet 2016 que :

« 1- L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.

2 – L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

3 – Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres ».

Par ailleurs, la valeur légale de la signature électronique est reprise dans le Code civil :

« La signature nécessaire à la perfection d’un acte sous seing privé identifie celui qui l’appose et manifeste son adhésion au contenu de l’acte. Elle peut être manuscrite ou électronique».

B.Mesures spécifiques à adopter par le professionnel dans le cas d’une entrée en relation d’affaires à distance « Non face to face »

« Lorsque le client n’est pas physiquement présent ou n’a pas été rencontré par ou pour le compte du professionnel aux fins de l’identification, relation dite « Non face-to-face », et que le professionnel n’a pas pris les garanties nécessaires telles qu’indiquées à l’Annexe IV, point 2) c) de la Loi (c’est-à-dire non assorties des garanties telles que des moyens d’identification électroniques au sens du règlement (UE) n°910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées)  des mesures spécifiques doivent être appliquées par le professionnel pour compenser le risque potentiellement plus élevé que présente ce type de relation ».

Les mesures spécifiques à prendre dans ce cas de figure peuvent notamment être :

• « des mesures garantissant que l’identité du client est établie au moyen de documents, données ou informations d’identification supplémentaires
• des mesures complémentaires assurant la vérification ou la certification par une autorité publique des documents fournis
• une attestation de confirmation de la part d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme
• des mesures garantissant que le premier paiement des opérations est effectué au moyen d’un compte ouvert au nom du client auprès d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme».

Cette liste de mesures supplémentaires à adopter en cas d’entrée en relation d’affaires à distance et en l’absence de garanties nécessaires telles que visées notamment dans le règlement (UE) n°910/2014 a été introduite par le règlement CSSF n°20-05 et n’est pas exhaustive. Libre au professionnel d’adopter d’autres mesures qu’il jugerait utile.

2.1.6 Orientations du GAFI sur l’identité numérique

L’identification numérique fait simplement référence à l’utilisation de la technologie pour affirmer et prouver l’identité.

La section III du guide est la plus pertinente en ce qui concerne les normes de vigilance à l’égard de la clientèle. Dans l’ensemble, le guide devrait aider les professionnels à comprendre si un identifiant numérique est adapté à des fins de vigilance à l’égard de la clientèle, après avoir d’abord compris les attributs des systèmes d’identification numérique.

A. Résumer brièvement le processus d’identification numérique (annexe A de la ligne directrice du GAFI)

Comme indiqué ci-dessus, le processus d’identification numérique se compose principalement de deux éléments :

(i) La preuve d’identité et l’enrôlement

La première étape consiste à répondre à la question simple « qui êtes-vous », avec la collecte de preuves d’attributs liés au fait que le client est ici un individu (documentaire ou numérique, sachant qu’il existe des biométries biophysiques, biomécaniques et comportementales).

Viendra ensuite la validation pour s’assurer de l’authenticité des preuves recueillies, puis le processus de vérification par lequel il y aura une confirmation que l’identité validée correspond bien au client en cours de processus.

(ii) L’authentification et la gestion du cycle de vie de l’identité

Cette partie du processus d’identification pourrait être brièvement résumée comme suit :  » Êtes-vous celui que vous prétendez être ? « .

Comme l’indique le GAFI, « plus un processus d’authentification utilise de facteurs, plus le système d’authentification est susceptible d’être robuste et digne de confiance ». Une fois que le client a été prouvé et inscrit avec succès dans un système d’identification numérique, le processus d’authentification garantit au professionnel que la personne qui présente le justificatif est bien celle à qui il appartient.

Les facteurs d’authentification courants peuvent être résumés comme suit :

La gestion du cycle de vie désigne simplement les actions que les professionnels devront entreprendre en réponse aux événements qui surviennent aux titres d’identité (perte, vol, etc.).

B. S’assurer que le système d’identification numérique est adapté aux besoins de diligence raisonnable des clients :

En dehors de la guidance de la CSSF sur le chat vidéo et du fait que la CSSF sera éventuellement consultée sur tout système d’identification numérique utilisé ou mis en œuvre par un professionnel, il n’existe pas de guidance spécifique au Luxembourg sur l’adéquation d’un système d’identification numérique qui sera utilisé pour l’accueil des clients.

Par conséquent, l’illustration du GAFI ci-dessous, combinée à une approche basée sur le risque, sera utile aux professionnels pour choisir le bon système et s’assurer qu’il est accompagné du bon niveau d’assurance :

2.2 Le client « personne morale »

2.2.1 L’identification du client personne morale

« Aux fins de l’identification des clients personnes morales, les professionnels doivent recueillir et enregistrer au minimum les informations suivantes :

1. • dénomination;
   • forme juridique;
   • adresse du siège social, ainsi que, si elle est différente, celle de l’un du principal lieu d’activité
   • le cas échéant, un numéro d’identification national officiel;
   • le nom des dirigeants (pour les personnes morales) et administrateurs ou personnes exerçant des positions similaires (pour les constructions juridiques) et intervenant dans le cadre de la relation d’affaires avec le professionnel;
   • dispositions régissant le pouvoir d’engager la personne morale ou la construction juridique;
   • autorisation d’entrer en relation ».

« Les informations énumérées au point 1 ci-dessus sont à recueillir et à enregistrer également pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement sous la surveillance de la CSSF qui sera le client du professionnel ».

Ouverture d’un compte pour une société en voie de formation avant l’achèvement des mesures de vérification de l’identité

Le professionnel peut ouvrir un compte pour une société en voie de formation pour autant que les conditions suivantes soient réunies :

«  –  les professionnels identifient et vérifient l’identité des fondateurs de la société  conformément à la Loi. Ils obtiennent de la part des fondateurs une déclaration qu’ils agissent, soit pour leur propre compte, soit pour des bénéficiaires effectifs qu’ils nomment, et, le cas échéant, les professionnels prennent les mesures d’identification et de vérification de l’identité à l’égard de ces derniers conformément à la Loi

–  dans les plus brefs délais après la constitution de la société, les professionnels complètent les mesures d’identification et de vérification de l’identité à l’égard de la société (…) ainsi que, le cas échéant, à l’égard de ses bénéficiaires effectifs (…). L’impossibilité de vérifier l’identité des fondateurs, de la société et des bénéficiaires effectifs dans le délai prescrit par les règles internes doit faire l’objet d’un rapport interne qui sera transmis au responsable du contrôle de la LBC/FT aux fins requises

– des mesures suffisantes sont mises en place afin qu’aucune sortie d’actifs au départ du compte ne puisse être réalisée avant l’achèvement de ladite vérification ».

2.2.2 Mesures d’identification et de vérification du mandataire du client personne morale

« Les professionnels prennent en outre connaissance des pouvoirs de représentation de(s) la personne(s) agissant au nom du client dans le cadre de la relation d’affaires avec le professionnel et procèdent à leur vérification au moyen de documents susceptibles de faire preuve dont ils prennent copie, le cas échéant sous forme électronique (digitale) ».

« Sont notamment visées (…) :

• « (…) les personnes physiques ou morales autorisées à agir pour le compte des clients en vertu d’un mandat ;
• les personnes autorisées à représenter des clients qui sont des personnes morales ou des constructions juridiques dans leurs relations avec le professionnel ».

2.2.3 La vérification de l’identité du client personne morale

« L’identification du client et la vérification de son identité (s’effectuent) sur la base de documents, de données ou d’informations de source fiable et indépendante, y compris, le cas échéant, les moyens d’identification électronique et les services de confiance pertinents prévus par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (…) ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ».

« (…) la vérification de l’identité des clients qui sont des personnes morales ou autres constructions juridiques doit se faire au minimum au moyen des documents suivants dont il est pris copie, le cas échéant sous forme électronique (digitale) :

• les derniers statuts coordonnés ou statuts à jour (ou document constitutif équivalent)
• un extrait du registre des sociétés récent et à jour (ou document probant équivalent) ».

Le professionnel peut utiliser un certificat de constitution, un certificat de conformité, un contrat de société, (…) ou tout autre document provenant d’une source indépendante et fiable indiquant le nom, la forme et l’existence du client.

« En fonction de leur évaluation des risques, les professionnels prendront des mesures de vérification complémentaires, telles que, par exemple:

• un examen du dernier rapport de gestion et des derniers comptes, le cas échéant certifiés par un réviseur d’entreprises agréé
• la vérification, après consultation du registre des sociétés ou de toute autre source de données professionnelles, que la société n’a pas fait, ou ne fait pas, l’objet d’une dissolution, d’une radiation, d’une mise en faillite ou d’une liquidation
• la vérification des informations recueillies auprès de sources indépendantes et fiables, telles que, notamment, des banques de données publiques et privées

une visite de la société, dans la mesure du possible, ou une prise de contact avec la société, notamment par courrier recommandé avec avis de réception ».

Sous-section 2. Identification et vérification de l’identité des bénéficiaires effectifs

I – Définition de la notion de bénéficiaire effectif

1.1. La définition du bénéficiaire effectif (« BE »)

L’obligation d’identification des bénéficiaires effectifs recouvre l’identification :

(a) des bénéficiaires effectifs des sociétés

(b) des bénéficiaires effectifs des fiducies et des trusts

(c) des bénéficiaires effectifs des entités juridiques telles que les fondations et les constructions juridiques similaires à des fiducies ou à des trusts.

Les professionnels sont dans l’obligation de prendre des mesures raisonnables pour obtenir l’identité de la personne physique qui possède ou contrôle le client ou pour laquelle une transaction est réalisée.

 « Par bénéficiaire effectif (…) est désignée toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. La notion de bénéficiaire effectif comprend au moins :

a)   dans le cas des sociétés :

i) toute personne physique qui, en dernier ressort, possède ou contrôle une entité juridique, du fait qu’elle possède directement ou indirectement un pourcentage suffisant d’actions ou de droits de vote ou d’une participation au capital dans cette entité, y compris par le biais d’actions au porteur ou d’un contrôle par d’autres moyens, autre qu’une société cotée sur un marché réglementé qui est soumise à des obligations de publicité compatibles avec le droit de l’Union européenne ou à des normes internationales équivalentes qui garantissent la transparence adéquate pour les informations relatives à la propriété.

Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une personne physique, est un signe de propriété directe. Une participation dans l’actionnariat à hauteur de 25% des actions plus une ou une participation au capital de plus de 25% dans le client, détenue par une société, qui est contrôlée par une ou plusieurs personnes physiques, ou par plusieurs sociétés, qui sont contrôlées par la ou les mêmes personnes physiques, est un signe de propriété indirecte.

ii) si après avoir épuisé tous les moyens possibles et pour autant qu’il n’y ait pas de motif de suspicion, aucune des personnes visées au point i) n’est identifiée, ou s’il n’est pas certain que la ou les personnes identifiées soient les bénéficiaires effectifs, toute personne physique qui occupe la position de dirigeant principal;

« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :

aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires

bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;

cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;

dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »

b)  dans le cas des fiducies et trusts :

i) le ou les constituants;

ii) le ou les fiduciaires ou trustees;

iii) le ou les protecteurs, le cas échéant;

iv) les bénéficiaires ou, lorsque les personnes qui seront les bénéficiaires de la construction ou de l’entité juridique n’ont pas encore été désignées, la catégorie de personnes dans l’intérêt principal de laquelle la construction ou l’entité juridique a été constituée ou opère;

v) toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie ou le trust par propriété directe ou indirecte ou par d’autres moyens;

c) pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, toute personne physique occupant des fonctions équivalentes ou similaires à celles visées au point b) ».

« l’identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier l’identité de cette personne, de telle manière que l’entité assujettie ait l’assurance de savoir qui est le bénéficiaire effectif, y compris, pour les personnes morales, les fiducies/trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client »

« Le bénéficiaire effectif au sens de l’article 1 paragraphe 7 de la Loi désigne toute personne physique qui, en dernier ressort, possède ou contrôle le client ou toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée. Cela peut être le cas même si le seuil de participation ou de contrôle tel qu’indiqué à l’article 1 paragraphe 7 point a) i) de la Loi n’est pas atteint ».

1.2 La définition de « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale

« L’expression personnes détenant le contrôle désigne les personnes physiques qui exercent un contrôle sur une entité. Dans le cas d’un trust, cette expression désigne le ou les constituants, le ou les trustees, la ou les personnes chargées de surveiller le trustee le cas échéant, le ou les bénéficiaires ou la ou les catégories de bénéficiaires, et toute autre personne physique exerçant en dernier lieu un contrôle effectif sur le trust et, dans le cas d’une construction juridique qui n’est pas un trust, l’expression désigne les personnes dont la situation est équivalente ou analogue. L’expression personnes détenant le contrôle doit être interprétée conformément aux recommandations du GAFI ».

Pour déterminer la résidence des « Personnes détenant le contrôle » d’une ENF passive pour les nouveaux comptes d’entités, « (…) l’institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) », étant entendu que pour les comptes d’entités préexistant, la règle est la suivante :

« Pour déterminer les personnes détenant le contrôle d’un Titulaire de compte, une institution financière déclarante peut se fonder sur les informations recueillies et conservées dans le cadre des Procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) ». [personnes détenant le contrôle d’une ENF passive]

« Pour déterminer si une personne détenant le contrôle d’une ENF passive est une personne devant faire l’objet d’une déclaration, une Institution financière déclarante peut se fonder sur : 

i)  des informations recueillies et conservées en application des procédures visant à identifier les clients et à lutter contre le blanchiment (AML/KYC) dans le cas d’un compte d’entité préexistant détenu par une ou plusieurs ENF et dont le solde ou la valeur agrégée ne dépasse pas un montant libellé en euros équivalant à 1.000.000 USD (…) ». [Déterminer la résidence d’une personne détenant le contrôle d’une ENF passive]

II – Identification du/des bénéficiaire(s) effectif(s) dans différents cas de figure 

2.1  Identification du BE contrôlant la société par les seuils (actions/droits de vote/capital)

Le BE du client entité juridique peut simplement contrôler celle-ci de par une participation directe de plus de 25% dans son capital :

Le contrôle d’une entité juridique peut aussi résulter d’une détention indirecte (ou chaîne de détention) du capital de celle-ci :

Le BE peut détenir indirectement des droits de vote du client :

Détention par le BE d’une participation majoritaire dans une entité détenant plus de 25% de la société cliente :

M. A ne détient pas de participation pondérée dans LuxCo de plus de 25% (75%x30% = 22,5%) mais détient une participation majoritaire de 75% dans FrenchCo qui détient plus de 25% des actions/droits de vote dans LuxCo.

M.B  détient une participation directe substantielle dans LuxCo. Tous deux sont les BE du client LuxCo.

2.2  Identification du BE contrôlant la société « par d’autres moyens »

« Le contrôle par d’autres moyens peut être établi conformément aux articles 1711-1 à 1711-3 de la loi modifiée du 10 août 1915 concernant les sociétés commerciales ainsi que conformément aux critères suivants :

aa) un droit direct ou indirect d’exercer une influence dominante sur le client en vertu d’un contrat conclu avec celui-ci ou en vertu d’une clause des statuts de celui-ci, lorsque le droit dont relève le client permet qu’il soit soumis à de tels contrats ou de telles clauses statutaires

bb) le fait que la majorité des membres des organes d’administration, de gestion ou de surveillance du client, en fonction durant l’exercice ainsi que l’exercice précédent et jusqu’à l’établissement des états financiers consolidés, ont été nommés par l’effet direct ou indirect du seul exercice des droits de vote d’une personne physique ;

cc) un pouvoir direct ou indirect d’exercer ou un exercice effectif direct ou indirect d’une influence dominante ou d’un contrôle sur le client, y compris par le fait que le client se trouve placé sous une direction unique avec une autre entreprise ;

dd) une obligation par le droit national dont relève l’entreprise mère du client d’établir des états financiers consolidés et un rapport de gestion consolidé ; »

Ici, une chaîne d’actionnaires à 3 niveaux où l’on suppose que « les autres actionnaires » renvoient à des groupes d’actionnaires diffus (détention capital inférieure à 5%).

L’actionnaire A est BE de LuxCo en ce qu’il détient une part significative du capital de celle-ci qui lui permet d’exercer un « pouvoir de contrôle par d’autres moyens » sur les organes d’administration, de direction ou de surveillance ou sur son assemblée générale :

– détention indirecte de 13,26% du capital de LuxCo (51% x 51% x 51%) qui apparaît significative au regard du seuil de détention des groupes  « d’autres actionnaires » qui détiennent moins de 5% du capital

– A est détenteur majoritaire de l’actionnaire 2, lui-même actionnaire majoritaire de l’actionnaire 1, actionnaire majoritaire de LuxCo.

2.2.1 Le groupe familial s’assurant le contrôle d’une société

Un partenariat (PACS) est conclu entre Mme B et M. C.

Aucune  personne du groupe familial ne détient individuellement plus de 25% du capital ou des droits de vote de la société Alpha (tout comme les « autres actionnaires ou associés » qui n’ont pas conclu d’accord entre eux). Mais elles agissent « de concert », elles peuvent donc déterminer ensemble les décisions prises lors des AG dans le cadre de leurs liens familiaux.

M. A, Mme B, M. C et M.D sont les BE de la société cliente Alpha : ils disposent du contrôle de la société cliente « par d’autres moyens », car ils appartiennent à un groupe familial.

2.2.2 L’action de concert entre différentes personnes

Aucun des « autres actionnaires ou associés » ne détient individuellement plus de 25% du capital ou des droits de vote ; ils n’ont pas conclu d’accord pour détenir plus de 47% des droits de vote.

Mesdames D et A et Messieurs B et C n’ont pas de lien de parenté. Mais s’ils agissent de concert, ils peuvent déterminer les décisions prises lors des assemblées générales. Ils sont BE de la société cliente Alpha car ils disposent du contrôle « par d’autres moyens », étant tenus à un pacte d’actionnaires/associés.

2.2.3 Démembrement de propriété

80% des actions de la société civile immobilière Alpha sont détenues par la famille de Mme A ; un démembrement des actions a été préalablement effectué : Mme A jouit de l’usufruit et les héritiers légaux de la nue-propriété (en indivision).

Selon l’art. 1852bis du Code Civil, le droit de vote appartient au nu-propriétaire, à l’exception des décisions concernant l’affectation des bénéfices, réservées à l’usufruitier (sauf dispositions contraires des statuts de la SCI).

Sauf dispositions contraires des statuts de la SCI, Mme A, qui n’est pas associée de celle-ci, détermine néanmoins l’affectation des bénéfices à hauteur de 80%. Ainsi, Mme A est BE de la SCI Alpha.

Ses héritiers légaux, nus propriétaires, détiennent 80% du capital et des droits de vote de la SCI ; ils sont donc BE (on assume qu’il n’existe pas de dispositions contraires dans les statuts de la SCI).

2.3 Identification du BE de dernier ressort de la personne morale : « le dirigeant principal »

Si le professionnel n’a pas de motif de suspicion sur son client (société) et qu’il n’a pas pu déterminer le(s) bénéficiaire(s) effectif(s) de l’entité qui détient/détiennent un contrôle direct sur celle-ci ou via une chaîne de détention indirecte ou qui la contrôle « par d’autres moyens », ou s’il n’est pas certain que la/les personne(s) identifiée(s) soi(en)t le(s) bénéficiaire(s) effectif(s), le professionnel désigne alors toute personne physique qui occupe la position de dirigeant principal.

2.3.1 Cas des sociétés

 

« (…) la notion de dirigeant principal est à comprendre en général comme étant l’organe de gestion légalement prévu et pas uniquement par exemple, le président d’un conseil d’administration. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».

Illustration où le(s) représentant(s) légal/légaux sont, par défaut, les bénéficiaires effectifs :

Aucun BE de la SAS Alpha n’a pu être identifié ni au titre de la détention de capital/droits de vote, ni au titre d’un contrôle par d’autres moyens.

Devraient ainsi être identifiés BE de la SAS Alpha, les représentants légaux de la SAS Alpha :

M. A (DG de la société Belle qui a la qualité de présidente de la SAS Alpha) puisque dans la SAS française, le pouvoir est exercé par une unique personne : le président, qui peut être une personne physique ou morale (seul organe de direction obligatoire).

M. B, le cas échéant, si les statuts de la SAS Alpha lui confère un pouvoir exécutif et de représentation identique à celui de la SA « Belle ».

 

Le « représentant légal » appliqué au cas de la société cliente luxembourgeoise (exemple non exhaustif):

Tableau indicatif du « représentant légal »

	Représentant légal (pouvoir exécutif de l’organe de gestion/ gérance/direction)	Organe d’administration
	BE de « dernier ressort » (dirigeant principal)
- société à responsabilité limitée - société en nom collectif - société en commandite simple - société en commandite spéciale - société civile	associé commandité (« General Partner ») le(s) gérant(s)	Si SC spéciale structure de fonds d’investissement : les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société par actions simplifiées	- le président - le(s) directeur(s) (si les statuts de la SAS lui ont conféré un pouvoir de représentation analogue à celui du président)
société Anonyme avec Conseil d’administration (système moniste)	le directeur général (CEO) (sinon le représentant permanent chargé de l’exécution en présence d’un DG personne morale)	si SA SICAV: les membres du CA, sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société Anonyme avec directoire et Conseil de Surveillance	- le membre du Directoire auquel a été délégué la gestion journalière/ représentation de la société (son président le cas échéant). (sinon son représentant permanent en présence d’une personne morale)	si SA SICAV: les membres du Conseil de surveillance sauf accord juridique spécifique (délégation des pouvoirs de gestion)
société en commandite par actions	le(s) Gérant(s) (actionnaire commandité le cas échéant)	si SCA SICAV: les membres du CA sauf accord juridique spécifique (délégation des pouvoirs de gestion)

« Pour les fonds communs de placement, les représentants légaux de la société de gestion du fonds : les membres du Conseil d’Administration, sauf accord juridique spécifique devraient être considérés comme « dirigeant principal » (c.-à-d. BE de dernier ressort).

2.3.2 Cas des associations

Les associations sans but lucratif peuvent être impliquées dans la collecte ou la distribution de fonds pour des motifs caritatifs, religieux, culturels, éducatifs, sociaux, confraternels ou pour d’autres types de « bonnes œuvres ». Néanmoins, elles sont susceptibles d’être utilisées à des fins moins vertueuses et courir le risque  d’être exploitées notamment à des fins de financement du terrorisme, plutôt que de poursuivre un but non lucratif ou louable.

Le Ministère de la Justice a illustré quelques cas de figure où des associations/fondations  sont utilisées à des fins de FT dans des orientations (« sensibilisation du secteur associatif aux risques de financement du terrorisme »).

« Si, malgré les recherches effectuées, aucun bénéficiaire effectif n’a pu être identifié au sens de la loi du 13 janvier 2019, le ou les dirigeants principaux sont alors considérés comme bénéficiaires effectifs et sont à ce titre, à inscrire au RBE.

Dans ce contexte, la notion de dirigeant principal est à comprendre en général comme étant le conseil d’administration et partant, l’ensemble de l’organe de gestion légalement prévu est à communiquer au RBE et pas seulement le président d’un conseil d’administration ou les membres d’un comité́ exécutif. Peut également être considéré comme dirigeant principal, le délégué à la gestion journalière ou tout autre organe équivalent, désigné en vertu de dispositions légales ou statutaires, auquel cas seul celui-ci est alors à inscrire ».

2.3.3 Cas des Organismes de placement collectif (OPC)

2.3.4 Cas des personnes morales de droit public et des sociétés dont les titres sont admis sur un marché réglementé

A. Les personnes morales de droit public

B. Les sociétés dont les titres sont admis à la négociation sur un marché réglementé

« (…) Les sociétés dont les titres sont admis à la négociation sur un marché réglementé au Grand-Duché de Luxembourg ou dans un autre État partie à l’accord sur l’Espace économique européen ou dans un autre pays tiers imposant des obligations reconnues comme équivalentes par la Commission européenne au sens de la directive 2004/119/CE du Parlement européen et du Conseil du 15 décembre 2004 sur l’harmonisation des obligations de transparence concernant l’information sur les émetteurs dont les valeurs mobilières sont admises à la négociation sur un marché réglementé et modifiant la directive 2001/34/CE inscrivent uniquement le nom du marché réglementé sur lequel leurs titres sont admis à la négociation ».

2.3.5 Cas des syndics de copropriété (NEW)

Conformément aux prescriptions de la loi du 16 mai 1975 portant statut de la copropriété des immeubles bâtis, les copropriétaires sont obligatoirement regroupés en un syndicat (syndic de copropriété), agissant en tant que représentant légal de la communauté des copropriétaires.

Le plus souvent, les syndics sont dotés de la personnalité juridique, enregistrés au Registre du Commerce de Luxembourg, ainsi soumis à la loi du 13 janvier 2019 instituant un registre des bénéficiaires effectifs.

2.3.6 Cas particulier des ONG

2.4 Le BE des fiducies et des trusts et autres constructions juridiques similaires

2.4.1 Fiducies et trusts

Le professionnel doit identifier le BE et prendre « des mesures raisonnables pour vérifier son identité (, de telle manière que le professionnel ait l’assurance de connaître ledit BE, ainsi que, pour les personnes morales, les fiducies, les trusts, les sociétés, les fondations et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ». 

« Les pays devraient prendre des mesures pour empêcher l’utilisation des constructions juridiques à des fins de blanchiment de capitaux ou de financement du terrorisme. En particulier, les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les trusts exprès, parmi lesquelles des informations sur le constituant, le trustee et les bénéficiaires, peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes (…) ».

2.4.2 Les bénéficiaires effectifs des fondations / constructions juridiques similaires à des fiducies/trust

« Pour les entités juridiques telles que les fondations, et les constructions juridiques similaires à des fiducies ou à des trusts, (le professionnel identifie) toute personne physique occupant des fonctions équivalentes ou similaires à celles (de constituant, fiduciaire/trustee, bénéficiaires ou toute autre personne physique exerçant le contrôle en dernier ressort sur la fiducie/trust par propriété directe ou indirecte ou par d’autres moyens)».

2.5 Cas de la personne physique « pour laquelle une transaction est réalisée »

Est aussi considéré BE selon la Loi « toute personne physique pour laquelle une transaction est exécutée ou une activité réalisée ».

III – Les mesures d’identification et de vérification de l’identité à l’égard des bénéficiaires effectifs

La 4ème directive anti-blanchiment telle que modifiée impose que certaines informations sur les bénéficiaires effectifs des sociétés et des fiducies soient mises à disposition dans des registres auxquels les professionnels auront accès. Le professionnel pourra, outre les informations reçues par son client, consulter les registres établis dans les États Membres afin de conforter les informations qui lui ont été remises par son client.

1. Mesures d’identification

« Sans préjudice des obligations renforcées de vigilance ou l’application de mesures de vigilance simplifiées, le cas échéant, l’identification des bénéficiaires effectifs (…) porte sur le(s) nom(s), prénom(s), nationalité(s), date et lieu de naissance et leur adresse ainsi que sur l’adresse postale complète de la résidence principale. D’après l’appréciation du professionnel, elle inclura aussi le numéro d’identité national officiel ».

2. Mesures de vérification

« La vérification de ces données (des bénéficiaires effectifs) s’effectuera, notamment, au moyen des informations obtenues auprès du client, des registres centraux au sens des articles 30 paragraphe 3 et 31 paragraphe 3bis de la directive (UE) 2015/849 ou de toute autre source indépendante et fiable disponible.

Le seul recours aux registres centraux tel que mentionné ci-dessus ne constitue pas un moyen suffisant afin de remplir les obligations de vigilance, le professionnel prendra donc Le professionnel prendra toutes mesures raisonnables afin d’acquérir l’assurance de connaître l’identité réelle du bénéficiaire effectif. Le caractère raisonnable de ces mesures est déterminé, notamment, en fonction du niveau de risque de blanchiment ou de financement du terrorisme que le professionnel estime associé au profil du client ou à la nature de la relation d’affaires ou de la transaction souhaitée par le client ».

Pour information, eu égard aux « personnes détenant le contrôle » dans le cadre de l’échange automatique de renseignements relatifs aux comptes financiers en matière fiscale, les personnes qui « détiennent le contrôle » d’une entité et qui doivent faire l’objet d’une déclaration au sens de la loi du 18 décembre 2015 doivent renseigner leur « nom, l’adresse, la ou les juridiction(s) de résidence et le ou les NIF et les date et lieu de naissance (…) ».

« Les pays devraient s’assurer que des informations satisfaisantes, exactes et à jour sur les bénéficiaires effectifs et sur le contrôle des personnes morales peuvent être obtenues ou sont accessibles en temps opportun par les autorités compétentes. En particulier, les pays dans lesquels les personnes morales peuvent émettre des actions au porteur ou des bons de souscription d’actions au porteur, ou qui autorisent les actionnaires ou administrateurs agissant pour le compte d’une autre personne (nominee shareholders or nominee directors), devraient prendre des mesures efficaces pour s’assurer qu’elles ne sont pas détournées à des fins de blanchiment de capitaux ou de financement du terrorisme. Les pays devraient envisager de prendre des mesures pour faciliter l’accès aux informations sur les bénéficiaires effectifs et sur le contrôle des personnes morales par les institutions financières (…) ».

3. Cas particulier des parts au porteur

Sous-section 3. Obtention d’informations sur l’objet et la nature envisagée de la relation d’affaires, en ce inclus l’origine des fonds

Les mesures de vigilance à l’égard de la clientèle comprennent « l’évaluation la compréhension de l’objet et de la nature envisagée de la relation d’affaires et, le cas échéant, l’obtention d’informations (par le professionnel) sur l’objet et la nature envisagée de la relation d’affaires ».

1 –   Appréciation sur la relation d’affaires

2 – L’origine des fonds 

Le professionnel acquerra toutes les informations nécessaires sur l’origine des fonds du client :

« L’obligation des professionnels de connaître leur client comprend celle de recueillir (…), d’enregistrer, d’analyser et de comprendre, au moment de l’identification du client, des informations sur l’origine des fonds du client et les types de transactions pour lesquelles le client sollicite une relation d’affaires, ainsi que toutes les informations adéquates permettant de déterminer la finalité de la relation d’affaires envisagée dans le chef du client (…). Ces informations devront permettre au professionnel d’exercer une vigilance constante effective à l’égard du client (…) En fonction de l’appréciation des risques, cette obligation peut comprendre l’obligation d’obtenir des pièces probantes».

Sous-section 4. Exercice d’une vigilance constante de la relation d’affaires et tenue à jour des documents, données ou informations détenues

1 . Considérations générales

Cas particuliers : les comptes dormants et les chèques

3.  Activités requérant une attention particulière

« Dans le cadre de la vigilance constante, constituent notamment des activités requérant une attention particulière (…)

• les activités des clients dont l’acceptation a été soumise à un examen spécifique (…) (acceptation des clients susceptibles de présenter des niveaux élevés de risque) ; ainsi que
• les transferts de fonds au sens du Règlement (UE) 2015/847 et les exigences respectives précisées dans ce dernier règlement (…) ».

4. Mise à jour des documents et informations

« Le devoir de vigilance constante inclut l’obligation de vérifier et, le cas échéant, de mettre à jour, en conformité avec le délai maximal prévu par, et en tenant compte des moments opportuns précisés à, l’article 1 paragraphe 4 du Règlement grand-ducal (c.-à-d. au moins tous les sept ans, sans préjudice d’une fréquence plus importante en fonction de l’appréciation des risques), dans un délai adéquat déterminé par le professionnel en fonction de son évaluation des risques, les documents, données ou informations collectés lors de l’accomplissement des obligations de vigilance à l’égard de la clientèle (…) ».

«Pour ce qui concerne les relations d’affaires à risque élevé, la fréquence de revue doit être au moins annuelle ».

« Les professionnels sont tenus de documenter, tenir à jour et mettre à disposition des autorités de contrôle et des organismes de régulation les évaluations des risques (…). Les autorités de contrôle et les organismes d’autorégulation peuvent décider que certaines évaluations des risques individuelles documentées ne sont pas obligatoires si les risques spécifiques inhérents au secteur sont clairement identifiés et compris ».

5.  La conservation des documents et la protection des données à caractère personnel 

1 –  Conservation des documents

« Les professionnels sont tenus de conserver et mettre rapidement à disposition les documents, données et informations ci-après aux fins de prévention et de détection d’un éventuel blanchiment de capitaux ou d’un éventuel financement du terrorisme et des enquêtes en la matière par les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme ou par les organismes d’autorégulation :

a) en ce qui concerne les mesures de vigilance à l’égard de la clientèle, une copie des documents et informations qui sont nécessaires pour se conformer aux obligations de vigilance à l’égard de la clientèle prévues aux articles 3-3, y compris, le cas échéant, les données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance pertinents prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales compétentes, les livres de comptes, la correspondance commerciale, ainsi que les résultats de toute analyse réalisée, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel;

b)les pièces justificatives et les enregistrements de transactions qui sont nécessaires pour identifier ou reconstituer des transactions individuelles afin de fournir, si nécessaire, des preuves dans le cadre d’une enquête ou instruction pénale, pendant cinq ans après la fin de la relation d’affaires avec le client ou après la date de la transaction conclue à titre occasionnel ».

« La période de conservation visée au présent paragraphe, y compris la période de conservation prolongée qui ne dépasse pas cinq années supplémentaires, s’applique également en ce qui concerne les données accessibles par l’intermédiaire des mécanismes centralisés visés à l’article 32bis de la directive (UE) 2015/849 ».

« Les professionnels sont également tenus de conserver les informations relatives aux mesures qui ont été prises afin d’identifier les bénéficiaires effectifs (…).

Sans préjudice des délais de conservation plus longs prescrits par d’autres lois, les professionnels sont tenus d’effacer les données à caractère personnel à l’issue des périodes de conservation visées à l’alinéa 1er. (…).

Par dérogation à l’alinéa 4, les professionnels conservent les données à caractère personnel pendant une période supplémentaire de cinq ans lorsque cette conservation est nécessaire pour la mise en œuvre efficace des mesures internes de prévention ou de détection des actes de blanchiment de capitaux ou de financement du terrorisme ».

2 – Respect des règles relatives à la protection des données 

A) Information des personnes concernées et avertissement général

– Le client :

« Les professionnels communiquent aux nouveaux clients les informations requises en vertu des articles 13 et 14 du RGPD avant de nouer une relation d’affaires ou d’exécuter une transaction à titre occasionnel.

Ces informations contiennent en particulier un avertissement général concernant les obligations légales des professionnels au titre de la présente loi en ce qui concerne le traitement des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».

–  Le bénéficiaire effectif :

Le professionnel ne collectant qu’indirectement l’information du BE par le biais de son client, il n’aura pas à informer le BE de par l’exception figurant dans le RGPD.

B) Restriction au droit d’accès

« (…) le responsable de traitement limite ou diffère l’exercice du droit d’accès de la personne concernée aux données à caractère personnel la concernant lorsqu’une telle mesure est nécessaire et proportionnée pour :

a) permettre au professionnel, à la CRF, à une autorité de contrôle ou à un organisme d’autorégulation d’accomplir ses tâches comme il convient aux fins de la présente loi (…) »              b) éviter de faire obstacle aux demandes de renseignements, analyses, enquêtes ou procédures à caractère officiel ou judiciaire, menées aux fins de la présente loi et pour ne pas compromettre la prévention et la détection des cas de blanchiment de capitaux ou de financement du terrorisme ni les enquêtes en la matière».

Pour mémoire, le RGPD permet à l’État membre de limiter les droits des « personnes concernées » dans certains cas de figure, par ex. « dans le cadre de la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

La Loi prescrit les cas de figure dans lesquels le professionnel devra appliquer des obligations renforcées de vigilance à l’égard de la clientèle.

Les critères suivant lesquels le professionnel se trouve face à une situation présentant un risque plus élevé et impliquant de ce fait une vigilance renforcée dans son chef sont précisés dans l’annexe IV de la Loi.

Si le professionnel est en présence d’éléments indicatifs de risques plus élevés, il sera « tenu d’examiner, dans la mesure du raisonnable, le contexte et la finalité de toute transaction qui remplit au moins une des conditions suivantes :

a) il s’agit d’une transaction complexe

b) il s’agit d’une transaction d’un montant inhabituellement élevé

c) elle est opérée selon un schéma inhabituel

d) elle n’a pas d’objet économique apparent ou d’objet licite apparent.

Le professionnel renforce notamment le degré et la nature des mesures de surveillance de la relation d’affaires, afin d’apprécier si ces transactions ou activités semblent inhabituelles ou suspectes ».

Aux côtés de la liste non exhaustive des facteurs et des types d’éléments indicatifs d’un risque potentiellement plus élevé, on retrouve des situations dans lesquelles le professionnel sera toujours en présence d’un risque élevé, devant par conséquent toujours appliquer des obligations de vigilance renforcées :

• Pour des relations d’affaires ou les transactions impliquant des pays à haut risque

Néanmoins, des mesures de vigilance renforcées à l’égard de la clientèle ne doivent pas nécessairement être automatiquement appliquées dans les succursales ou filiales détenues majoritairement, qui sont situées dans des pays à haut risque, si ces succursales ou filiales respectent intégralement les politiques et procédures en vigueur à l’échelle du groupe conformément à l’article 4-1 ou à l’article 45 de la directive (UE) 2015/849.

• En cas de relations transfrontalières de correspondants et autres relations similaires avec des établissements clients
• Dans le cadre de relations d’affaires avec des personnes politiquement exposées.

Les situations imposant des mesures de vigilance renforcées vont être détaillées une par une ci-dessous.

Section 1. Les personnes politiquement exposées 

1. Le risque causé par une PPE

2. Définition d’une PPE

Les personnes politiquement exposées désignent « (…) les personnes physiques qui occupent ou se sont vu confier une fonction publique importante ainsi que les membres de leur famille ou des personnes connues pour leur être étroitement associées ».

« Les personnes physiques qui occupent ou se sont vu confier une fonction publique importante désignent :

a)  Les chefs d’État, les chefs de gouvernement, les ministres, les ministres délégués et secrétaires d’État ;

b)  Les parlementaires ou les membres d’organes législatifs similaires ;

c)  Les membres des cours suprêmes, des cours constitutionnelles ou d’autres hautes juridictions dont les décisions ne sont pas susceptibles de recours, sauf circonstances exceptionnelles ;

d)  Les membres des cours des comptes ou des conseils ou directoires des banques centrales

e)  Les ambassadeurs, les chargés d’affaires et les officiers supérieurs des forces armées ;

f)  Les membres des organes d’administration, de direction ou de surveillance des entreprises publiques ;

g)  Les responsables et les membres des organes dirigeants de partis politiques ;

h)  Les directeurs, les directeurs adjoints et les membres du conseil d’une organisation internationale, ou les personnes qui occupent une position équivalente en son sein. »

i)  Les personnes physiques exerçant les fonctions figurant sur la liste publiée par la Commission européenne sur base de l’article 20bis, paragraphe 3, de la directive (UE) 2015/849 (…) »

« Chaque État membre établit et met à jour une liste indiquant les fonctions précises qui, aux termes des dispositions législatives, réglementaires et administratives nationales, sont considérées comme étant des fonctions publiques importantes (…) ».

3. Définition des membres de la famille et associés d’une PPE

L’identification d’une PPE doit aussi inclure l’examen des membres de sa famille ainsi que de ses associés, dans le cadre de la vigilance renforcée :

Les membres de la famille désignent « l’ensemble des personnes physiques comprenant notamment :

a)  le conjoint ;

b)  tout partenaire considéré par le droit interne comme l’équivalent du conjoint ;

c)  les enfants et leurs conjoints ou partenaires considérés par le droit interne comme l’équivalent d’un conjoint ;

d)  les parents ;

e)  les frères et sœurs ».

La liste n’est donc pas exhaustive selon le libellé de la disposition.

Les personnes connues pour être étroitement associées désignent « (…) l’ensemble des personnes physiques comprenant notamment :

a)  toute personne physique connue pour être le bénéficiaire effectif d’une personne morale ou d’une construction juridique conjointement avec une personne visée au paragraphe 10 ou pour entretenir toute autre relation d’affaires étroite avec une telle personne ;

b)  toute personne physique qui est le seul bénéficiaire d’une personne morale ou d’une construction juridique connue pour avoir été établie au profit de facto de la personne visée au paragraphe 10 ».

4. Les obligations incombant au professionnel en présence d’une PPE

4.1 L’Identification des PPE

« (…) Les institutions financières devraient être obligées de prendre des mesures raisonnables pour déterminer si un client ou un bénéficiaire effectif est une PPE nationale ou une personne qui exerce ou a exercé une fonction importante au sein et pour le compte d’une organisation internationale. (…) ».

« Les systèmes adéquats de gestion des risques (en ce compris les procédures fondées sur les risques) permettant de déterminer si le client ou la personne prétendant agir pour le compte du client ou le bénéficiaire effectif est une personne politiquement exposée (…) comprennent au moins la sollicitation d’informations pertinentes auprès du client, le recours à des informations publiquement disponibles ou l’accès à des bases de données informatiques sur les personnes politiquement exposées. La détection des personnes politiquement exposées parmi les clients existants en cours de relation d’affaires, est à effectuer au minimum tous les six mois.»

4.2 Une obligation de vigilance renforcée

« Les professionnels doivent :

a)  disposer de systèmes adéquats de gestion des risques, y compris des procédures fondées sur les risques, afin de déterminer si le client ou le bénéficiaire effectif est une personne politiquement exposée ;

b)  obtenir l’autorisation à un niveau élevé de la hiérarchie avant de nouer ou, s’il s’agit d’un client existant, de maintenir une relation d’affaires avec de telles personnes ;

c)  prendre toute mesure appropriée pour établir l’origine du patrimoine et l’origine des fonds impliqués dans la relation d’affaires ou la transaction avec de telles personnes ; 
De surcroît, les établissements de crédit et les établissements financiers doivent prendre toute mesure appropriée pour établir l’origine du patrimoine et l’origine des fonds des clients et des bénéficiaires effectifs identifiés comme des personnes politiquement exposées;

d)  assurer une surveillance continue renforcée de la relation d’affaires

Le présent paragraphe est également applicable lorsque pour un client déjà accepté, il apparaît ultérieurement que le client ou le bénéficiaire effectif est une personne politiquement exposée ou qu’il le devient ».

« Lorsqu’un client a été accepté et qu’il apparaît ultérieurement que ce client ou le bénéficiaire effectif est une personne politiquement exposée ou le devient, les professionnels sont tenus d’obtenir d’un niveau élevé de la hiérarchie l’autorisation de poursuivre la relation d’affaires. La procédure d’autorisation requérant l’approbation d’un niveau élevé de la hiérarchie implique aussi le responsable du contrôle du respect des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme.

Les professionnels sont tenus de prendre toutes mesures raisonnables pour identifier l’origine du patrimoine et l’origine des fonds des clients et bénéficiaires effectifs identifiés comme des personnes politiquement exposées ».

4.3 Cas particulier du contrat d’assurance vie

La loi du 13 février 2018 ajoute de nouveaux critères en vue de déterminer si les bénéficiaires d’un contrat d’assurance-vie sont des personnes politiquement exposées :

« Les professionnels doivent prendre des mesures raisonnables en vue de déterminer si les bénéficiaires d’un contrat d’assurance vie ou d’un autre type d’assurance liée à des placements ou, le cas échéant, le bénéficiaire effectif du bénéficiaire sont des personnes politiquement exposées. Ces mesures sont prises au plus tard au moment du versement des prestations ou au moment de la cession, partielle ou totale, du contrat d’assurance. Lorsque des risques plus élevés sont identifiés, les professionnels, outre les mesures de vigilance à l’égard de la clientèle prévues à l’article 3, doivent :

a)  informer un membre d’un niveau élevé de la hiérarchie avant le paiement des produits du contrat ;

b)  exercer un contrôle renforcé sur l’intégralité de la relation d’affaires avec le preneur d’assurance;

c)  faire une déclaration d’opérations suspectes à la CRF ou, si le professionnel est un avocat, au bâtonnier de l’Ordre des avocats respectif, si les circonstances donnent lieu à un soupçon de blanchiment ou de financement du terrorisme».

5. La PPE qui n’est plus en fonction

« Lorsqu’une personne politiquement exposée qui occupe ou s’est vu confier une fonction publique importante a cessé d’exercer une fonction publique importante pour le compte d’un État membre ou d’un pays tiers ou une fonction publique importante pour le compte d’une organisation internationale, les professionnels sont tenus de prendre en considération, pendant au moins douze mois, le risque que cette personne politiquement exposée continue de poser et d’appliquer des mesures appropriées, fondées sur l’appréciation de ce risque, jusqu’à ce que cette personne ne présente plus de risque particulier ».

Section 2. Banques correspondantes

« En cas de relation transfrontalière de correspondant et autres relations similaires avec des établissements clients, les établissements de crédit, les établissements financiers et autres institutions concernées par de telles relations, doivent, outre les mesures de vigilance à l’égard de la clientèle prévues à l’article 3, paragraphe (2), au moment de nouer une relation d’affaires :

a) recueillir sur l’établissement client des informations suffisantes pour comprendre pleinement la nature de ses activités et pour apprécier, sur la base d’informations accessibles au public, sa réputation et la qualité de la surveillance dont il fait l’objet, ce qui implique notamment de savoir si l’établissement client a fait l’objet d’une enquête ou de mesures de la part d’une autorité de contrôle en matière de lutte contre le blanchiment et contre le financement du terrorisme ;

b) évaluer les contrôles contre le blanchiment et contre le financement du terrorisme mis en place par l’établissement client;

c) obtenir l’autorisation à un niveau élevé de leur hiérarchie avant de nouer de nouvelles relations de correspondant;

d) comprendre clairement et établir par des documents les responsabilités respectives de chaque établissement;

e) en ce qui concerne les comptes « de passage » (« payable through accounts »), s’assurer que l’établissement client a vérifié l’identité des clients ayant un accès direct aux comptes des établissements de crédit, des établissements financiers et d’autres institutions concernées par de telles relations et a mis en œuvre à leur égard une surveillance constante, et qu’il peut fournir des données et informations pertinentes concernant ces mesures de vigilance à la demande de l’établissement correspondant » (voir également ci-dessous les nouveautés apportés par le RGD du 1^er février 2010 pour les comptes de passage).»

« Il est interdit aux professionnels de nouer ou de maintenir une relation de correspondant avec une société bancaire écran ou avec un établissement de crédit ou établissement financier connu pour permettre à une société bancaire écran d’utiliser ses comptes. Les professionnels s’assurent que les correspondants n’autorisent pas des sociétés bancaires écran à utiliser leurs comptes. »

Le règlement Grand-ducal du 1^er février 2010 (RGD) tel que modifié apporte des instructions supplémentaires en cas de relation transfrontalière de correspondant dans le cadre de la relation d’affaires avec l’établissement client. Le professionnel devra également :

• évaluer, sur la base d’informations publiquement disponibles, la réputation de l’établissement client et la qualité de sa surveillance, y compris vérifier si l’établissement concerné a fait l’objet d’une enquête ou d’une intervention de l’autorité de surveillance ayant trait au blanchiment ou au financement du terrorisme
• s’assurer de la pertinence et de l’efficacité des contrôles contre le blanchiment et contre le financement du terrorisme mis en place par l’établissement client
• comprendre clairement et préciser par écrit les responsabilités respectives de chaque établissement en matière de LBC/FT

Le RGD impose des obligations supplémentaires au professionnel en présence de comptes de passage. Celui-ci devra s’assurer que :

1. « – leur client (l’établissement client) a appliqué toutes les mesures de vigilance prévues à l’article 3 de la Loi à ceux de ses clients qui ont directement accès aux comptes de l’établissement correspondant ;
2. et que l’établissement client est en mesure de fournir des données d’identification et informations pertinentes sur ces clients sur demande de l’établissement correspondant. La fourniture de telles données et informations de la part des établissements de crédit luxembourgeois dans le cadre d’une relation avec un correspondant est autorisée.

Dans la mesure où d’autres institutions que des établissements de crédit sont concernées par des relations de correspondance bancaire, les règles en cette matière s’appliquent également à ces institutions ».

Section 3. Pays à haut risque

« Un pays à haut risque est un pays « qui figure sur la liste des pays tiers à haut risque recensés en application de l’article 9, paragraphe 2, de la directive (UE) 2015/849 (c.-à-d. le Règlement délégué UE 2020/855)  ou désigné comme présentant un risque plus élevé par le Groupe d’action financière (GAFI) ainsi que tout autre pays que les autorités de contrôle et les professionnels considèrent dans le cadre de leur évaluation des risques de blanchiment et de financement du terrorisme comme étant un pays à haut risque sur base des facteurs de risques géographiques énoncés à l’annexe IV (de la Loi) ».

En ce qui concerne les relations d’affaires ou les transactions impliquant des pays à haut risque, les professionnels appliquent les mesures de vigilance renforcées à l’égard de la clientèle mentionnées ci-après:

a)  obtenir des informations supplémentaires sur le client et sur le ou les bénéficiaires effectifs et la mise à jour plus régulière des données d’identification du client et du bénéficiaire effectif

b)  obtenir des informations supplémentaires sur la nature envisagée de la relation d’affaires

c)  obtenir des informations sur l’origine des fonds et l’origine du patrimoine du client et du ou des bénéficiaires effectifs

d)  obtenir des informations sur les raisons des transactions envisagées ou réalisées

e)  obtenir d’un membre d’un niveau élevé de leur hiérarchie l’autorisation de nouer ou de maintenir la relation d’affaires

f)  mettre en œuvre une surveillance renforcée de la relation d’affaires en augmentant le nombre et la fréquence des contrôles effectués et en déterminant les schémas de transaction qui nécessitent un examen plus approfondi».

« Les professionnels veillent à ce que, le cas échéant, le premier paiement soit réalisé par l’intermédiaire d’un compte ouvert au nom du client auprès d’un établissement de crédit soumis à des normes de vigilance à l’égard de la clientèle au moins aussi élevées que celles prévues par la directive (UE) 2015/849 ».

 « Des mesures de vigilance renforcées à l’égard de la clientèle ne doivent pas nécessairement être automatiquement appliquées dans les succursales ou filiales détenues majoritairement, qui sont situées dans des pays tiers à haut risque (…), si ces succursales ou filiales respectent intégralement les politiques et procédures en vigueur à l’échelle du groupe conformément à (…) la directive (UE) 2015/849. Les professionnels traitent ces situations en ayant recours à une approche fondée sur les risques ».

« Les institutions financières devraient être obligées d’appliquer des mesures de vigilance renforcées aux relations d’affaires et opérations avec les personnes, physiques ou morales, ainsi qu’avec les institutions financières, des pays pour lesquels le GAFI appelle à le faire. Le type de mesures de vigilance renforcées appliquées devrait être efficace et proportionnel aux risques ».

L’annexe III (A) infra fournit certains liens renseignant les pays tiers présentant des risques de corruption/ blanchiment-financement du terrorisme.

QUE FAIRE…pour atténuer les risques en présence de pays à haut risque ?

– Augmenter la quantité d’informations obtenues aux fins des mesures de vigilance à l’égard de la clientèle (par ex. sur l’identité́ du client ou du BE ou sur la structure de propriété et de contrôle du client, afin de s’assurer que le risque associé à la relation d’affaires est bien compris ;  sur la nature envisagée de la relation d’affaires pour s’assurer que la nature et l’objet de la relation d’affaires soient légitimes et pour aider les établissements à obtenir un profil de risque plus complet sur le client).

– Augmenter la qualité  des informations obtenues aux fins des mesures de vigilance à l’égard de la clientèle, afin de confirmer l’identité du client ou du BE (le premier paiement devrait être effectué par le biais d’un compte détenu, de manière vérifiable, au nom du client auprès d’une banque soumise à des règles de vigilance à l’égard de la clientèle identiques à celles de la 4ème directive anti-blanchiment par ex.).

– Augmenter la fréquence des réexamens pour s’assurer que l’établissement est toujours en mesure de gérer le risque associé à la relation d’affaires individuelle, ou lorsque la relation ne correspond plus à l’appétence au risque de l’établissement, pour l’aider à identifier les transactions qui nécessitent un examen plus approfondi.

Section 4.  Exemples de mesures de vigilance renforcées à mettre en œuvre par secteur d’activité/ en cas de transactions n’impliquant pas la présence physique des parties

Le Comité mixte des Autorités de surveillance européenne, dans ses orientations finales sur les facteurs de risque, retient de nombreux critères à mettre en œuvre dans le chef du professionnel dans les situations spécifiques visées par la Loi ainsi que par secteur d’activité, étant entendu que les mesures figurant dans les orientations ne sont pas exhaustives, donc données à titre illustratif.

• Banque de détail :

– Vérifier l’identité du client et du BE sur la base de plusieurs sources fiables et indépendantes

– Obtenir plus d’informations sur le client et sur la nature ou l’objet de la relation d’affaires afin de construire un profil client plus complet

– Augmenter la fréquence du contrôle des transactions

– Réexaminer et mettre à jour les informations détenues plus fréquemment

• Gestion de patrimoine/ Banque privée :

Les mesures prescrites dans les orientations reprennent notamment celles indiquées pour la banque de détail.

En sus, le professionnel devra notamment établir l’origine du patrimoine et des fonds; lorsque le risque est particulièrement élevé et/ou que l’établissement a des doutes concernant la légitimité de l’origine des fonds, vérifier l’origine du patrimoine et des fonds peut être le seul outil adéquat pour atténuer les risques. L’origine des fonds ou du patrimoine peut être vérifiée en se référant, entre autres:

– à une fiche de paie récente

– à une confirmation écrite du salaire annuel signée par l’employeur

– à une confirmation de vente signée par un avocat/notaire

–  à l’original ou à la copie certifiée conforme du testament ou de l’homologation du testament

– confirmation écrite de l’héritage signée par le notaire/fiduciaire/exécuteur testamentaire.

Le professionnel devrait par ailleurs contrôler les transactions de son client sur une base continue et si l’un des éléments transactionnel apparaît incompatible avec le profil de risque commercial du client.

• Émission de monnaie électronique et services de paiements :

Les mesures de vigilance renforcées à l’égard de la clientèle que les établissements devraient appliquer dans une situation à risque élevé comprennent notamment:

-L’obtention d’informations supplémentaires sur le client lors de l’identification, comme l’origine des fonds

– L’application de mesures de vérification supplémentaires à partir d’une plus grande variété de sources fiables et indépendantes (par exemple par croisement avec des bases de données en ligne) afin de vérifier l’identité du client ou du BE

-L’obtention d’informations supplémentaires sur la nature envisagée de la relation d’affaires, par exemple en interrogeant les clients sur leurs activités commerciales ou sur les pays ou territoires auxquels ils envisagent de transférer de la monnaie électronique

– L’obtention d’informations sur le commerçant/bénéficiaire, en particulier lorsque l’émetteur de monnaie électronique a des motifs de soupçonner que ses produits sont utilisés pour acheter des biens illicites ou soumis à une limite d’âge

– La mise en œuvre de contrôles contre la fraude à l’identité pour s’assurer que le client est bien la personne qu’il affirme être

– L’exercice d’un contrôle renforcé de la relation client et des transactions individuelles

– L’établissement de l’origine et/ou de la destination des fonds.

• Transactions n’impliquant pas la présence physique des parties, en l’absence de moyens d’identification électronique ou processus d’identification sécurisé :

« En cas de transactions qui n’impliquent pas la présence physique des parties et lorsque le professionnel n’a pas mis en place des moyens d’identification électronique, des services de confiance pertinents au sens du règlement (UE) n°910/2014 ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées,  les professionnels doivent se doter de dispositifs de gestion des risques spécifiques liés aux relations d’affaires ou aux transactions.

Ces politiques et procédures doivent s’appliquer lors de l’établissement de la relation d’affaires avec le client et lors de la mise en œuvre des mesures de vigilance constante ».

Les mesures spécifiques à adopter par le professionnel pour compenser le risque potentiellement plus élevé que présente ce type de relation peuvent notamment être :

«- des mesures garantissant que l’identité du client est établie au moyen de documents, données ou informations d’identification supplémentaires ;

– des mesures complémentaires assurant la vérification ou la certification par une autorité publique des documents fournis ;

– une attestation de confirmation de la part d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme

– des mesures garantissant que le premier paiement des opérations est effectué au moyen d’un compte ouvert au nom du client auprès d’un établissement de crédit ou d’un établissement financier soumis à la Loi ou soumis à des obligations professionnelles équivalentes en matière de lutte contre le blanchiment et contre le financement du terrorisme ».

Section 5. Exemples de mesures de vigilance renforcées à mettre en œuvre selon le Règlement n°12-02 de la CSSF :

« Sans préjudice des cas où des mesures de vigilance renforcées sont spécifiquement prescrites par la Loi, le Règlement grand-ducal ou le présent règlement, les mesures de vigilance renforcées qui peuvent être appliquées en fonction de l’évaluation des risques réalisée par le professionnel à des relations d’affaires présentant un risque plus élevé comprennent, par exemple:

• l’obtention d’informations supplémentaires sur le client et la mise à jour plus régulière des données d’identification du client et du bénéficiaire effectif ;
• l’obtention d’informations/ documents supplémentaires sur la nature envisagée de la relation d’affaires ou sur l’origine des fonds impliqués et du patrimoine ;
• l’obtention d’informations et, le cas échéant, d’éléments probants quant aux raisons et à l’arrière-fond économique des transactions envisagées ou réalisées et sur la plausibilité de ces transactions ;
• l’obtention de l’autorisation de la direction autorisée pour engager ou poursuivre la relation d’affaires ;
• la réalisation du premier paiement par l’intermédiaire d’un compte ouvert au nom du client auprès d’un autre professionnel assujetti à des normes de vigilance similaires ;
• la vérification auprès de sources indépendantes et fiables d’informations supplémentaires recueillies ;
• une visite du client/de la société ou une prise de contact avec le client/la société par courrier recommandé avec avis de réception ;
• la mise en œuvre d’une surveillance renforcée de la relation d’affaires par l’augmentation du nombre et de la fréquence des contrôles et la sélection des schémas de transactions qui nécessitent un examen plus approfondi ».

Section 1. Régime du « tiers introducteur »

« Aux fins du présent article, on entend par « tiers » les professionnels (…), les organisations ou fédérations membres de ces (professionnels), ou d’autres établissements ou personnes, situés dans un État membre ou un pays tiers :

a)  qui appliquent à l’égard des clients des mesures de vigilance et de conservation des documents et pièces qui sont compatibles avec celles qui sont prévues dans la directive (UE) 2015/849 ;

b)  qui sont soumis, pour ce qui concerne le respect des exigences de la présente loi, de la directive (UE) 2015/849 ou de règles équivalentes qui leur sont applicables, à une surveillance compatible avec (…) la directive (UE) 2015/849 ».

« Il est interdit aux professionnels de recourir à des tiers établis dans des pays à haut risque. Sont exemptées de cette interdiction les succursales et les filiales détenues majoritairement par des professionnels établis dans l’UE, si ces succursales et filiales détenues majoritairement respectent intégralement les politiques et procédures à l’échelle du groupe conformément à (…) la directive (UE) 2015/849 ».

(2) « Les professionnels peuvent recourir à des tiers pour l’exécution (…) (de certaines mesures de vigilance) à condition que l’obtention immédiate de la part du tiers auquel elles ont recours des informations (…) soit assurée. Toutefois, la responsabilité finale dans l’exécution de ces obligations continue d’incomber aux professionnels qui recourent à des tiers ».

« Les professionnels recourant à un tiers doivent prendre des mesures appropriées pour avoir l’assurance que ce tiers fournisse sans délai, sur demande, conformément au paragraphe (3), les documents nécessaires concernant les obligations de vigilance relatives à la clientèle prévues à l’article 3 (…), y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) n° 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées.

Les professionnels recourant à un tiers doivent également s’assurer que ce tiers est soumis à une réglementation, fait l’objet d’une surveillance, et qu’il a pris des mesures visant à respecter l’obligation de vigilance relative à la clientèle et aux obligations de conservation des documents, qui sont compatibles avec celles qui sont prévues aux articles 3 à 3-2 de la (…) Loi ».

(3) « Lorsqu’un tiers intervient aux fins du paragraphe 2 ci-dessus, celui-ci est tenu de mettre immédiatement à la disposition du professionnel auquel le client s’adresse, nonobstant toute règle de confidentialité ou de secret professionnel lui applicable le cas échéant, les informations demandées conformément aux obligations prévues à l’article 3, paragraphe 2, alinéa 1^er, points a) à c) et alinéa 2. 
Dans ce cas, une copie adéquate des données d’identification et de vérification, y compris, le cas échéant, des données obtenues par l’utilisation de moyens d’identification électronique, des services de confiance concernés prévus par le règlement (UE) nº 910/2014, ou tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées, et de tout autre document pertinent concernant l’identité du client ou du bénéficiaire effectif doit être transmise sans délai, sur demande, par le tiers au professionnel auquel le client s’adresse »

De plus, le professionnel doit s’assurer que les tiers introducteurs répondent aux prescriptions de la Loi.

Tout professionnel recourant à un tiers introducteur doit s’assurer préalablement à l’intervention de celui-ci qu’il répond à la qualité de tiers introducteur selon les termes de la Loi. a documentation ayant servi à la vérification de la qualité du tiers introducteur doit être conservée en conformité avec la Loi.

Le tiers introducteur s’engage préalablement, par écrit, à remplir les obligations telles que précisées à l’article 3-3, para. (2) de la Loi, nonobstant toute règle de confidentialité ou de secret professionnel applicable au tiers introducteur le cas échéant.

La responsabilité quant au respect de ses obligations professionnelles prévues par le dispositif légal applicable, y inclus du présent règlement, continue d’incomber au professionnel recourant au tiers introducteur.

Section 2. Externalisation et relation d’agence 

« Le contrat entre le professionnel et le tiers délégué intervenant dans le cadre d’une relation d’externalisation ou d’agence (…) doit inclure, au minimum :

• une description détaillée des mesures de vigilance et procédures à mettre en œuvre, dans le respect de la Loi et du présent règlement et, en particulier, des informations et documents à réclamer et à vérifier par le tiers délégué (prestataire de services en cas d’externalisation ou agent dans le cas d’une relation d’agence);
• les conditions relatives à la transmission des informations au professionnel, dont notamment la mise à disposition immédiate, sans opposition de règles de confidentialité ou de secret professionnel ou d’autres obstacles quelconques, des informations recueillies dans le cadre de l’accomplissement des obligations de vigilance à l’égard de la clientèle, et la transmission, sur demande et sans délai, d’une copie ou des originaux des documents probants obtenus à cet égard ».

« (2) Les politiques relatives à l’externalisation et à la relation d’agence ainsi que les procédures internes du professionnel souhaitant recourir à des tiers délégués doivent notamment contenir des dispositions détaillées sur le processus de sélection et d’évaluation des tiers délégués, y compris des sous-traitants à différents niveaux, en cas d’externalisation en cascade. En particulier, le professionnel doit s’assurer que le prestataire de services a les ressources nécessaires pour effectuer l’ensemble des fonctions externalisées (processus, service ou activité externalisé(e)).

Les professionnels doivent effectuer un contrôle régulier du respect par le tiers délégué de ses engagements découlant du contrat. En fonction de l’approche fondée sur les risques, le contrôle régulier vise le fait pour le professionnel de se donner les moyens de tester (par exemple via échantillonnage) et de contrôler de manière régulière et ponctuelle (par exemple en effectuant des visites sur place) le respect des obligations qui incombent au tiers délégué. En ce qui concerne les données de ses clients, le professionnel et la CSSF doivent avoir les droits d’accès aux systèmes/bases de données du tiers délégué ».

« (2bis) Une évaluation des risques par rapport aux fonctions externalisées et, le cas échéant, de la chaîne d’externalisation doit avoir été réalisée avant la conclusion du contrat d’externalisation (…) ».

« (3) La responsabilité quant au respect des dispositions de la Loi, du Règlement grand-ducal ainsi que du présent règlement continue d’incomber au professionnel recourant au tiers délégué et au tiers sous délégué, le cas échéant ».

« (4) Dans le cadre de l’externalisation de fonctions en matière de LBC/CFT, les droits et obligations du professionnel et du prestataire de services ainsi que leurs rôles, responsabilités et tâches doivent être clairement énumérés, répartis et définis dans le contrat d’externalisation. (…) »

 

Section 1 : le risque de blanchiment moins élevé tel que visé par la Loi 

« Lorsque les professionnels identifient un risque de blanchiment et de financement du terrorisme moins élevé, ils peuvent appliquer des mesures simplifiées de vigilance à l’égard de la clientèle.»

1.1 Situation de risque moins élevé

Lorsqu’ils évaluent les risques de blanchiment et de financement du terrorisme liés à certains types de clients, de zones géographiques et à des produits, services, transactions ou canaux de distribution particuliers, les professionnels tiennent compte au minimum des facteurs de situations de risque potentiellement moins élevé énoncés à l’annexe III (de la Loi ) »

L’application de mesures de vigilance simplifiées doit être basée sur une évaluation des risques attestant d’un risque faible.

Les facteurs de risque repris dans l’annexe ont déjà été mentionnés supra (client/produit/pays), le professionnel retiendra notamment un risque faible :

– (i) géographique : si situation/critères impliquent des États membres, un client originaire d’un État membre, pays tiers présentant un faible risque de corruption/ des systèmes efficaces LBC/FT.

– (ii) produits/services/transactions/canaux de distribution : 

Une liste non exhaustive comprenant par exemple : les polices d’assurance vie à prime faible, contrats d’assurance retraite sans clause de rachat anticipé, les régimes de retraite en faveur des salariés, produits ou services financiers utilisés à des fins d’inclusions, produits présentant un risque fable de blanchiment ou financement du terrorisme qui sont contrôlés par d’autres facteurs tels que des limites ou la transparence en matière de propriété.

– (iii) clients : sociétés cotées sur un marché réglementé et soumises à des obligations d’information (en ce inclus une transparence des bénéficiaires effectifs), administrations/entreprises publiques, critères de résidence.

 

Quant à la monnaie électronique :

« (…) sur la base d’une évaluation des risques appropriée attestant de la faiblesse du risque, les professionnels sont autorisés à ne pas appliquer certaines mesures de vigilance à l’égard de la clientèle pour la monnaie électronique si toutes les conditions d’atténuation du risque suivantes sont remplies :

a) il n’est pas possible de recharger l’instrument de paiement, ou l’instrument est assorti d’une limite maximale mensuelle de 150 euros pour les opérations de paiement utilisable uniquement au Luxembourg ;

b) le montant maximal stocké sur un support électronique n’excède pas 150 euros.

c) l’instrument de paiement est utilisé exclusivement pour l’achat de biens ou de services ;

d) l’instrument de paiement ne peut être crédité au moyen de monnaie électronique anonyme

e) l’émetteur exerce un contrôle suffisant des transactions ou de la relation d’affaires pour être en mesure de détecter toute transaction inhabituelle ou suspecte.

La dérogation prévue à l’alinéa 1er n’est pas applicable en cas de remboursement en espèces ou de retrait d’espèces de la valeur monétaire de la monnaie électronique lorsque le montant remboursé est supérieur à 50 euros ou en cas d’opérations de paiement à distance au sens de l’article 4, point 6), de la directive (UE) 2015/2366 (…) lorsque le montant payé est supérieur à 50 euros par transaction ».

« Les établissements de crédit et les établissements financiers agissant comme acquéreurs acceptent uniquement les paiements effectués au moyen de cartes prépayées anonymes émises dans des pays tiers où de telles cartes répondent à des exigences équivalentes à celles énoncées aux alinéas 1ers et 2 ».

« En présence d’informations donnant à penser que le degré de risque n’est pas moins élevé, ou dès lors qu’il y a soupçon de blanchiment ou de financement du terrorisme ou lorsqu’il y a doute concernant la véracité ou la pertinence de données précédemment obtenues ou dans des cas spécifiques de risques plus élevés, l’application du présent régime des obligations simplifiées de vigilance n’est pas possible à ces clients, zones géographiques, produits, services, transactions ou canaux de distribution particuliers ».

1.2 Mesures de vigilance

Selon le GAFI, les institutions financières peuvent être autorisées à appliquer des mesures de vigilance simplifiées tenant compte de la nature de risques plus faibles.

Les mesures préconisées par le GAFI peuvent ainsi consister à vérifier l’identité du client/BE après l’établissement de la relation d’affaires, réduire la fréquence des mises à jour des éléments d’identification du client et l’intensité de la vigilance constante ou encore déduire l’objet et la nature envisagée de la relation d’affaires du type d’opération effectué.

« Lorsque les professionnels identifient un risque de blanchiment et de financement du terrorisme moins élevé, ils peuvent appliquer des mesures simplifiées de vigilance à l’égard de la clientèle.

(2) Avant d’appliquer des mesures simplifiées de vigilance à l’égard de la clientèle, les professionnels s’assurent que la relation d’affaires ou la transaction présente un degré de risque moins élevé.

Section 2 : Suggestions de mesures de vigilance simplifiées  

Selon le Règlement CSSF n°12-02 :

Le Règlement CSSF n°20-05 énonce les mesures que le professionnel peut appliquer dans le cadre d’une relation d’affaires présentant un risque faible justifié :

• Pour les clients soumis à un régime d’autorisation/d’agrément ou d’enregistrement obligatoire à des fins de LBC/FT, vérifier que le client est soumis à ce régime, par exemple en effectuant une recherche sur le site officiel du régulateur et en documentant le résultat de la recherche
• La présomption qu’un paiement débité d’un compte détenu au nom du client, à titre individuel ou joint, auprès d’un établissement de crédit ou d’un établissement financier réglementé dans un pays de l’espace économique européen ou un pays tiers imposant des obligations LBC/FT équivalentes, remplit les exigences prévues à l’article 3 paragraphe 2, alinéa 1, point a) de la Loi

• L’acceptation exceptionnelle d’autres formes de pièce d’identité répondant aux critères de sources fiable et indépendante, par exemple une lettre adressée au client par un organisme gouvernemental ou autre organe public fiable, lorsque le client est dans l’impossibilité de fournir les justificatifs d’identité habituels, et pour autant qu’il n’y ait pas de motif de suspicion
• La mise à jour des informations relatives aux mesures de vigilance à l’égard de la clientèle uniquement dans le cas de certains événements déclencheurs, par exemple si le client demande un produit ou service nouveau ou plus risqué, ou en cas de changements dans le comportement ou le profil de transaction du client qui semblent indiquer que le risque associé à la relation n’est plus faible ;
• Pour les personnes prétendant agir pour compte du client et pour les initiateurs, promoteurs qui sont à la base du lancement d’un fonds d’investissement, l’obtention de l’information sur le pays de résidence de ces personnes au lieu de demander l’adresse postale complète ;
• Pour les personnes prétendant agir pour compte d’un client où le client est un établissement de crédit ou financier régulé, au lieu de demander l’identification complète de ces personnes, l’obtention d’une lettre confirmant que l’établissement a appliqué à ces personnes des mesures de vigilance et qu’il a effectué un contrôle régulier de ces personnes par rapport aux listes applicables de mesures restrictives en matière financière.

 Les mesures de vigilance simplifiées selon les autorités de surveillance européennes :

Les orientations finales sur les facteurs de risque du comité mixte des Autorités européennes de supervision contiennent aussi des mesures de vigilance simplifiées que le professionnel peut appliquer, génériques et spécifiques selon les secteurs d’activité concernés.

2.1 Mesures de vigilance simplifiées « génériques »

Les mesures prônées par le comité mixte des autorités européennes concernant la vigilance simplifiée reposent sur l’adaptation. L’adaptation tant du moment choisi pour appliquer les mesures de vigilance que de la quantité d’informations obtenues aux fins d’identification ou de leur qualité/source, ou encore de la fréquence du contrôle des transactions.

Le professionnel appliquera à discrétion les mesures retenues par les orientations selon les cas de figure.

• Adaptation du moment choisi pour appliquer les mesures de vigilance :

(i) en vérifiant l’identité du client ou du BE pendant l’établissement de la relation d’affaires; ou

(ii) en vérifiant l’identité du client ou du BE dès que les transactions dépassent un seuil déterminé ou dès qu’un délai raisonnable s’est écoulé.

Le professionnel doit s’assurer:
a-   que cela n’entraîne pas une exemption de facto des mesures de vigilance à l’égard de la clientèle

b-   que le seuil ou le délai est fixé à un niveau raisonnablement faible/court (toutefois, en ce qui concerne le financement du terrorisme, les établissements devraient noter qu’un seuil bas pourrait à lui seul ne pas être suffisant pour réduire le risque)

c-    qu’ils disposent de systèmes permettant de détecter quand le seuil ou la date limite est atteinte et

d-   qu’ils ne reportent pas les mesures de vigilance à l’égard de la clientèle et ne retardent pas l’obtention d’informations pertinentes concernant le client lorsque la législation applicable, par exemple le règlement (UE) 2015/847, ou les dispositions du droit national exigent que ces  informations soient obtenues dès le début.

• Adaptation de la quantité d’informations : 

(i) en vérifiant l’identité sur la base des informations obtenues à partir d’un seul document ou d’une seule source de données fiable, crédible et indépendante; ou

(ii) en présumant la nature et l’objet de la relation d’affaires en raison du fait que le produit est conçu exclusivement pour un usage bien précis, tel qu’un régime de retraite d’entreprise ou une carte cadeau d’un centre commercial.

• Adapter la fréquence des mises à jour des mesures de vigilance à l’égard de la clientèle et des réexamens de la relation d’affaires, par exemple en les réalisant uniquement lors de la survenue d’événements déclencheurs, notamment lorsque le client souhaite souscrire un nouveau produit ou service ou qu’un certain seuil de transactions est atteint.
• Adapter la fréquence et l’intensité du contrôle des transactions, par exemple en contrôlant les transactions au-delà d’un certain seuil uniquement.
• Adapter la qualité ou la source des informations obtenues pour l’identification et la vérification de l’identité et la vigilance continue :
  • En acceptant les informations obtenues du client plutôt que d’une source indépendante lors de la vérification de l’identité du bénéficiaire effectif
  • En se fondant sur l’origine des fonds pour répondre à certaines obligations de vigilance, notamment lorsque les fonds proviennent de versements d’avantages sociaux ou lorsque les fonds ont été transférés d’un compte au nom du client d’un établissement situé dans l’EEE

 

2.2 Mesures de vigilance simplifiées par secteur d’activité

Tout comme pour l’évaluation des risques par secteurs d’activités, les orientations du comité mixte donnent des indications quant aux mesures de vigilance simplifiées à appliquer.  Quelques exemples sont donnés ci-dessous, mais le professionnel est invité à consulter les orientations pour plus de détails.

• Banque de détail :

• Gestion patrimoniale/Banque privée : 

• Émission de monnaie électronique et services de paiement : 

 

Section 1. Obligation d’instaurer des procédures écrites de contrôle interne et de communication

« Les professionnels doivent mettre en place des politiques, contrôles et procédures pour atténuer et gérer efficacement les risques de blanchiment et de financement du terrorisme identifiés au niveau international, européen, national sectoriel et du professionnel lui-même. Ces politiques, contrôles et procédures, qui prennent en compte les risques de blanchiment et de financement du terrorisme, doivent être proportionnées à la nature, aux particularités et à la taille des professionnels.

Les politiques, contrôles et procédures comprennent :

a) L’élaboration de politiques, de contrôles et de procédures internes, y compris les modèles en matière de gestion des risques, la vigilance à l’égard de la clientèle, la coopération, la conservation des documents et pièces, le contrôle interne, la gestion du respect des obligations y compris la nomination, au niveau hiérarchique approprié, d’un responsable de contrôle du respect des obligations et la sélection du personnel ;

b) Lorsque cela est approprié eu égard à la taille et à la nature des activités et aux risques de blanchiment et de financement du terrorisme, une fonction d’audit indépendante chargée de tester les politiques, contrôles et procédures visées au point a). (…)

Les professionnels désignent, le cas échéant, parmi les membres de leur organe de gestion ou de leur direction effective la personne responsable du respect des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme ».

« Le dispositif de contrôle interne (…) est convenablement doté en ressources afin de vérifier le respect, y compris par sondage, des procédures, politiques et mesures de contrôle ainsi que bénéficier de l’indépendance adéquate pour l’exercice de sa mission.

Le responsable du contrôle du respect des obligations et les autres membres du personnel concerné ont accès en temps voulu aux données d’identification des clients et à d’autres renseignements relevant des mesures de vigilance, aux pièces relatives aux transactions et aux autres renseignements pertinents. Le responsable du contrôle du respect des obligations doit pouvoir agir de façon indépendante et rendre compte à la direction, sans passer par son supérieur hiérarchique immédiat, ou au conseil d’administration (…) ».

Le règlement CSSF n°12-02 énonce quelques exemples de procédures eu égard à la politique LBC/FT du professionnel.

«Les politiques et procédures LBC/FT du professionnel doivent viser toutes ses obligations professionnelles et doivent comprendre, le cas échéant, notamment :

–  la politique d’acceptation des clients (…)

–  le détail des procédures quant à l’identification, l’évaluation, la surveillance, la gestion et l’atténuation des risques de blanchiment ou de financement du terrorisme (…). Ces procédures doivent permettre de suivre l’évolution des risques identifiés, de les réévaluer régulièrement et d’identifier toute modification significative les affectant ou tout nouveau risque

–  les dispositifs de gestion des risques spécifiques liés aux relations d’affaires ou aux transactions n’impliquant pas la présence physique des parties sans que d’autres garanties aient été mises en place (telles que visées à l’article 27 du  règlement CSSF n°12-02)

–  les mesures destinées à empêcher l’utilisation abusive de produits ou la réalisation de transactions favorisant l’anonymat (…), notamment dans le domaine des technologies nouvelles

–  les procédures à suivre en cas de demande d’entrée en relation d’affaires ou de demande d’effectuer une transaction occasionnelle pour une personne dont l’activité́ normale implique la conservation de fonds de tiers auprès d’un professionnel respectivement l’ouverture d’un compte groupé

–  la procédure d’acceptation et de suivi des relations d’affaires (…)

–  les procédures à suivre en cas de recours à un tiers introducteur (…)

–  les procédures à suivre en cas de recours à des tiers délégués intervenant dans le cadre d’un contrat d’externalisation ou d’agence (…)

–  les procédures à respecter afin de suivre l’évolution des relations d’affaires ainsi que des transactions effectuées pour les clients, en vue, notamment, de la détection de transactions suspectes

–  les procédures à suivre en cas de soupçon ou de motifs raisonnables de soupçons ou de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme

(…)

–  les procédures à suivre afin de respecter les obligations contenues dans le règlement (UE) 2015/847  (transferts de fonds)

– la politique de sélection du personnel garantissant le recrutement des employés selon des critères exigeants, le programme de formation et de sensibilisation du personnel (…)

–  la définition exacte des responsabilités respectives des diverses fonctions au sein du personnel en matière de LBC/FT, ainsi que la procédure de nomination du responsable du contrôle et du responsable du respect .

– la procédure permettant de signaler en interne les violations des obligations professionnelles en matière de LBC/FT par une voie spécifique, indépendante et anonyme

– les procédures en matière de mesures restrictives financières

– les procédures à suivre en cas d’identification du bénéficiaire de fiducies, trusts ou constructions juridiques similaires au moment du versement des prestations ou au moment où le bénéficiaire exerce ses droits acquis (…)

Les mesures relatives aux dispositifs de surveillance des relations d’affaires et des transactions telles qu’incluses dans le Règlement CSSF n°12-02 sont renseignées supra.

Section 2. Obligation de former et de sensibiliser le personnel

« Les professionnels sont tenus de prendre des mesures proportionnées à leurs risques, à leur nature et à leur taille, afin que leurs employés, y inclus les membres des organes de gestion et de la direction effective, aient connaissance des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme, ainsi que des exigences applicables en matière de protection des données. Ces mesures comprennent la participation de leurs employés à des programmes spéciaux de formation continue visant à les tenir informés des nouvelles évolutions, y compris des informations sur les techniques, méthodes et tendances de blanchiment et de financement du terrorisme, à les aider à reconnaitre les opérations susceptibles d’être liées au blanchiment ou au financement du terrorisme et à les instruire à la manière de procéder en pareil cas. Les programmes spéciaux de formation continue fournissent aux employés des explications claires sur tous les aspects des lois et obligations en matière de lutte contre le blanchiment et contre le financement du terrorisme et notamment des obligations relatives au devoir de vigilance vis-à-vis de la clientèle et de déclaration des opérations suspectes. (…) ».

« Chaque professionnel est tenu de disposer d’un programme de formation et de sensibilisation pour l’ensemble de son personnel répondant à des critères qualitatifs élevés et dont le contenu et le calendrier tiennent compte des nécessités spécifiques du professionnel. Ce programme, ainsi que sa réalisation, doivent être documentés par écrit. Le programme doit tenir compte de l’évolution des techniques du blanchiment et de financement du terrorisme et doit être adapté lors d’un changement des exigences légales ou réglementaires en la matière.

Le programme de formation et de sensibilisation du personnel doit comporter, notamment :

• pour les employés nouvellement recrutés, dès leur embauche, la participation à une formation interne ou externe de base, les sensibilisant à la politique de LBC/FT du professionnel ainsi qu’aux exigences légales et réglementaires en la matière
• pour l’ensemble du personnel, la participation régulière à des formations internes ou externes continues, et s’adressant en particulier aux membres du personnel en contact direct avec la clientèle afin de les aider à détecter les transactions inhabituelles et à reconnaître les tentatives de blanchiment ou de financement du terrorisme. Ces formations continues doivent également porter sur les procédures internes du professionnel à suivre par le personnel en cas de détection d’un soupçon ou de motifs raisonnables de soupçon de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme
• des réunions d’information régulières pour les employés afin de les tenir au courant des évolutions quant aux techniques, méthodes et tendances de blanchiment et de financement du terrorisme ainsi qu’aux règles et procédures préventives à respecter en la matière
• la désignation d’une ou plusieurs personnes de contact pour les employés, compétentes et disponibles pour répondre à toute question ayant trait au blanchiment ou au financement du terrorisme, et pouvant porter, notamment, sur tous les aspects des lois et obligations en matière de LBC/FT, sur les procédures internes, les devoirs de vigilance auprès de la clientèle et de déclaration d’opérations suspectes
• la diffusion périodique d’une documentation de LBC/FT, citant notamment des exemples d’opérations de blanchiment ou de financement du terrorisme ».

Section 3. Signalement interne des violations des obligations professionnelles 

« Les professionnels doivent mettre en place des procédures appropriées, proportionnées à leur nature et à leur taille, permettant à leur personnel ou aux personnes se trouvant dans une situation comparable de signaler en interne les violations des obligations professionnelles en matière de lutte contre le blanchiment et contre le financement du terrorisme par une voie spécifique, indépendante et anonyme ».

La 5ème directive anti-blanchiment impose aux États membres de « faire en sorte que les personnes, y compris les employés et les représentants de l’entité́ assujettie qui signalent, en interne ou à la CRF, un soupçon de blanchiment de capitaux ou de financement du terrorisme, bénéficient d’une protection légale contre toute menace, mesure de représailles ou acte hostile, et en particulier contre toute mesure préjudiciable ou discriminatoire en matière d’emploi ».

De plus, ils « veillent à ce que les personnes exposées à des menaces, à des mesures de représailles ou à des actes hostiles, ou à des mesures préjudiciables ou discriminatoires en matière d’emploi pour avoir signalé́ un soupçon de blanchiment de capitaux ou de financement du terrorisme, en interne ou à la CRF, aient le droit de déposer, en toute sécurité́, une réclamation auprès des autorités compétentes respectives.(…) ».

Section 4. Obligation de disposer de systèmes permettant de répondre aux autorités 

« Les professionnels sont tenus de disposer de systèmes leur permettant de répondre de manière rapide et complète à toute demande d’informations des autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme et des organismes d’autorégulation, tendant à déterminer s’ils entretiennent ou ont entretenu au cours des cinq années précédentes une relation d’affaires avec une personne physique ou morale donnée, et quelle est ou a été la nature de cette relation, par l’intermédiaire de canaux sécurisés et d’une manière garantissant la confidentialité́ totale des demandes d’informations ».

« (…) les professionnels doivent être en mesure de répondre rapidement et de façon complète aux demandes d’information de la part des autorités luxembourgeoises responsables de la LBC/FT, et notamment celles tendant à déterminer s’ils entretiennent ou ont entretenu des relations d’affaires ou s’ils effectuent ou ont effectué des transactions en relation avec des personnes données (…).

Cette obligation de coopération ne cesse pas avec la fin de la relation d’affaires ou de la transaction ».

De même,  la ligne directrice de la CRF (DOS) oblige le professionnel à répondre, « sans délai, à une demande d’information de la CRF en utilisant les formulaires « retour d’information », avec ou sans transactions, disponibles sur goAML Web. (Le professionnel) peut les remplir en ligne ou télécharger un XML (…). Si (le professionnel) n’est pas encore inscrit comme déclarant, il faudra (s’)inscrire préalablement pour pouvoir répondre à la demande d’information.

Suivant la complexité et l’étendue des recherches, (le professionnel) devrait répondre à toute demande d’information de la CRF endéans la quinzaine. Toutefois, si une demande d’information est qualifiée de « très urgente», notamment en matière de financement du terrorisme, (le professionnel) devrait y répondre endéans les 24 heures. Une demande d’information qualifiée d’« urgente » devrait être traitée dans la semaine ».

I) « Les professionnels, leurs dirigeants et employés sont tenus de coopérer pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en particulier dans le cadre de l’exercice de leurs pouvoirs de surveillance (…) ».

Sans préjudice des obligations leur incombant à l’égard des autorités de contrôle ou des organismes d’autorégulation, les professionnels, leurs dirigeants et employés sont tenus :

a)  d’informer sans délai, de leur propre initiative la cellule de renseignement financier lorsqu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération. Cette déclaration devra être accompagnée de toutes les informations et pièces qui ont motivé la déclaration.

Toutes les opérations suspectes, y compris les tentatives d’opérations suspectes doivent être déclarées, quel que soit leur montant.

L’obligation de déclaration des opérations suspectes s’applique sans que les déclarants ne qualifient l’infraction sous-jacente.

(b) de fournir sans délai à la cellule de renseignement financier, à sa demande, toutes les informations requises. Cette information comprend notamment la transmission des pièces sur lesquelles les informations sont fondées (…) ».

(I bis) Concernant la lutte contre le financement du terrorisme, l’obligation de déclaration des opérations suspectes (…) s’applique aussi aux fonds pour lesquels il existe des motifs raisonnables de soupçonner ou dont on soupçonne qu’ils sont liés ou en rapport avec ou qu’ils vont servir au terrorisme, à des actes terroristes, à un terroriste ou à des groupes terroristes ou à ceux qui financent le terrorisme ».

« L’obligation d’informer sans délai la CRF(…) couvre également le cas où le professionnel est entré en contact avec une personne physique ou morale, ou une construction juridique sans qu’une relation d’affaires ait été nouée ou qu’une transaction ait été effectuée, pour autant qu’il y a des soupçons ou des motifs raisonnables de soupçon de blanchiment, d’infraction sous-jacente associée ou de financement du terrorisme.

(2) Le professionnel doit se donner les moyens requis en termes de procédures et d’organisation de la fonction du responsable du contrôle de la LBC/FT permettant de procéder à une analyse des rapports qui lui sont transmis et de déterminer s’il y a lieu de procéder à la communication d’un fait ou d’une transaction à la CRF (…). A cette fin, le professionnel doit s’enregistrer dans l’outil mis en place par la CRF. Les procédures doivent prévoir les conditions, les délais et les étapes de la communication des rapports par le chargé de clientèle au responsable du contrôle. L’analyse et la décision en résultant doivent être conservées par écrit et tenues à la disposition des autorités compétentes.

(3) (…) une relation d’affaires qui a fait l’objet d’une déclaration de soupçon auprès de la CRF, doit être suivie par le professionnel avec une vigilance accrue et, le cas échéant, en ligne avec les instructions de la CRF. En cas d’indices nouveaux, les professionnels procèdent à une déclaration d’opérations suspectes complémentaire ».

Lorsque (…) le professionnel a un doute quant à l’identité réelle du bénéficiaire effectif et lorsqu’il n’arrive pas à lever ce doute, il refusera de nouer la relation d’affaires ou d’effectuer la transaction souhaitée par le client et, lorsqu’il sait, soupçonne ou a des motifs raisonnable de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme est en cours, a eu lieu ou a été tenté, il procédera à une déclaration (au Parquet) en conformité avec l’article 5 para. (1) et (1 bis) de la Loi (…) ».

« Le secret professionnel n’est pas applicable à l’égard de la cellule de renseignement financier concernant le paragraphe (1), le paragraphe (1bis) et le paragraphe (3) ».

« les pays devraient s’assurer que les lois sur le secret professionnel des institutions financières n’entravent pas la mise en œuvre des recommandations du GAFI ».

       – Règles de la non-exécution de la transaction suspecte et de « No tipping off » (zéro fuite)

 « Les professionnels sont tenus de s’abstenir d’exécuter toute transaction qu’ils savent, soupçonnent ou ont des motifs raisonnables de soupçonner d’être liée à un blanchiment, à une infraction sous-jacente associée, ou à un financement du terrorisme avant d’en avoir informé́ la Cellule de renseignement financier conformément (…) et de s’être conformés à toute instruction particulière émanant de la Cellule de renseignement financier. La Cellule de renseignement financier peut donner l’instruction de ne pas exécuter les opérations en rapport avec la transaction ou avec le client.

Lorsqu’il n’est pas possible de s’abstenir d’exécuter une transaction (…) ou lorsque cela est susceptible d’entraver les efforts déployés pour poursuivre les bénéficiaires d’une opération suspecte, les professionnels concernés en informent ensuite sans délai la Cellule de renseignement financier.

En cas d’instruction verbale, cette communication doit être suivie dans les trois jours ouvrables d’une confirmation écrite. A défaut de confirmation écrite, les effets de l’instruction cessent le troisième jour ouvrable à minuit.

Le professionnel n’est pas autorisé́ à faire état de cette instruction à l’égard du client sans le consentement exprès préalable de la Cellule de renseignement financier.

La Cellule de renseignement financier peut ordonner d’office et à tout moment la mainlevée totale ou partielle de l’ordre de ne pas exécuter des opérations en vertu du de l’alinéa 1er ».

Les demandes d’information potentielles de la CRF eu égard aux DOS ainsi que les règles d’abstention d’exécution et de « no tipping off » eu égard aux transactions suspectes «  sont applicables même en l’absence d’une déclaration d’opération suspecte formulée par le professionnel ».

« La décision de blocage de la CRF peut intervenir à tout moment.

Au risque de rendre inopérante la faculté de blocage de la CRF, (le professionnel ne doit) pas exécuter une transaction qu’(il sait) ou qu’(il soupçonne) d’être liée à un blanchiment, à une infraction sous-jacente associée ou un financement du terrorisme tant qu’il n’a pas informé la CRF par une déclaration d’opérations suspectes ou par une réponse à une demande d’information reçue. Un accusé de réception (des) déclarations (du professionnel) et des réponses (du professionnel) à une demande d’information est généré par goAML Web et est envoyé (au professionnel) via le message board, chaque jour vers minuit.

A partir de ce moment, tant que (le professionnel n’a) pas reçu une décision de blocage de la CRF, (il) peut exécuter, sous (sa) responsabilité́, les transactions visées dans (ses) communications ainsi que toute autre transaction subséquente non suspecte ».

«  Les professionnels ainsi que leurs dirigeants et employés ne peuvent pas révéler au client concerné ou à des personnes tierces que des informations sont, seront ou ont été́ communiquées ou fournies aux autorités (…)  ou qu’une enquête de la CRF sur le blanchiment ou le financement du terrorisme est en cours ou pourrait être ouverte :

 

Cette interdiction ne s’applique pas à une divulgation aux autorités « de contrôle » ou, le cas échéant, aux organismes d’autorégulation respectifs des différents professionnels. Elle ne s’applique également pas dans un contexte intra-groupe sous réserve du respect des conditions exposées à la section 2.3 ci-dessus.

(…)

En ce qui concerne les établissements de crédit, les établissements financiers et les professionnels visés à l’article 2, paragraphe (1), points 8, 9, 11, 12 et 13, (avocats, notaires, activité conseil fiscal) dans les cas impliquant la même personne concernée et la même transaction faisant intervenir au moins deux professionnels, l’interdiction énoncée à l’alinéa 1er du présent paragraphe ne s’applique pas à la divulgation entre les professionnels concernés, à condition qu’ils soient situés dans un État membre, ou dans un pays tiers qui impose des obligations équivalentes à celles fixées dans la présente loi ou dans la directive (UE) 2015/849, qu’ils relèvent de la même catégorie professionnelle et qu’ils soient soumis à des obligations équivalentes en matière de secret professionnel et de protection des données à caractère personnel. Les informations échangées doivent être utilisées exclusivement à des fins de prévention du blanchiment et du financement du terrorisme.

Les dispositions auxquelles le professionnel se soumet figurent dans le Règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds et abrogeant le règlement CE 1781/2006. Ces dispositions sont entrées en vigueur le 26 juin 2017.

« Le règlement (UE) 2015/847 assure au niveau de l’Union européenne, la mise en œuvre uniforme de la Recommandation n°16 du GAFI sur les virements électroniques. (…) (il) établit les règles relatives aux informations sur les donneurs d’ordre et, dorénavant (nouveauté́ par rapport à l’ancien Règlement (CE) N° 1781/2006), sur les bénéficiaires de transferts, qui doivent accompagner les transferts de fonds, dans quelque monnaie que ce soit, lorsqu’au moins un des prestataires de services de paiement intervenant dans le transfert de fonds, est établi dans l’Union européenne ».

Compte tenu de l’effet direct du Règlement (UE) 2015/847, la CSSF invite les professionnels à « adapter, le cas échéant, (leurs) procédures et processus internes notamment en matière de LBC/FT, aux fins de (se) conformer aux exigences qu’il comporte »

La circulaire CSSF N°17/680 du 23 janvier 2018 réfère par ailleurs aux orientations communes des trois autorités européennes de surveillance relatives aux mesures que les prestataires de services de paiement doivent prendre en rapport avec des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes.

Le règlement (UE) s’applique aux transferts de fonds, dans quelque monnaie que ce soit, qui sont envoyés ou reçus par un prestataire de services de paiement ou un prestataire de services de paiement intermédiaire établi dans l’Union.

Les dérogations à l’application du règlement (UE) 2015/847

«  Le (…) règlement ne s’applique pas aux transferts de fonds effectués à l’aide d’une carte de paiement, d’un instrument de monnaie électronique ou d’un téléphone portable, ou de tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, si les conditions suivantes sont remplies:

a)la carte, l’instrument ou le dispositif est utilisé exclusivement pour payer des biens ou des services;

b)le numéro de cette carte, de cet instrument ou de ce dispositif accompagne tous les transferts découlant de la transaction.

Cependant, le (…) règlement est applicable lorsqu’une carte de paiement, un instrument de monnaie électronique ou un téléphone portable, ou tout autre dispositif numérique ou informatique qui permet de pré- ou postpayer présentant des caractéristiques similaires, est utilisé pour effectuer un transfert de fonds entre particuliers

(4) Le présent règlement n’est pas applicable aux personnes qui ne font que numériser des documents papier et qui agissent en vertu d’un contrat avec un prestataire de services de paiement, ni à celles dont la seule activité est de fournir aux prestataires de services de paiement des systèmes de messagerie ou d’autres systèmes de support pour la transmission de fonds, ou des systèmes de compensation et de règlement

Le présent règlement ne s’applique pas aux transferts de fonds:

a) qui impliquent que le donneur d’ordre retire des espèces de son propre compte de paiement;

b) qui constituent des transferts de fonds au profit d’une autorité publique pour le paiement d’impôts, d’amendes ou d’autres prélèvements au sein d’un État membre;

c) pour lesquels le donneur d’ordre et le bénéficiaire sont tous deux des prestataires de services de paiement agissant pour leur propre compte;

d) qui sont effectués au moyen d’échanges d’images chèques, y compris des chèques digitalisés ».

Les obligations du professionnel varieront selon qu’il agit le cas échéant en qualité de prestataire de service de paiement pour le donneur d’ordre (section 1), pour le bénéficiaire  (section 2) ou en présence d’un prestataire de service de paiement intermédiaire (section 3).

Section 1. Le respect du règlement (UE) 2015/847 sur les informations accompagnant les transferts de fonds

Sous – section 1. Obligations du prestataire de service de paiement (« PSP ») du donneur d’ordre

1. Informations accompagnant les transferts de fonds

« 1. Le prestataire de services de paiement du donneur d’ordre veille à ce que les transferts de fonds soient accompagnés des informations suivantes sur le donneur:

a)  le nom du donneur d’ordre

b)  le numéro de compte de paiement du donneur d’ordre et

c)  l’adresse, le numéro du document d’identité officiel, le numéro d’identification de client ou la date et le lieu de naissance du donneur d’ordre

2. Le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné des informations suivantes:

a)  le nom du bénéficiaire et

b)  le numéro de compte de paiement du bénéficiaire

3. Par dérogation au paragraphe 1, point b), et au paragraphe 2, point b) (supra), dans le cas d’un transfert qui n’est pas effectué à partir ou à destination d’un compte de paiement, le prestataire de services de paiement du donneur d’ordre veille à ce que le transfert de fonds soit accompagné d’un identifiant de transaction unique (ITU) plutôt que du/des numéro(s) de compte de paiement.

4. Avant de transférer les fonds, le prestataire de services de paiement du donneur d’ordre vérifie l’exactitude des informations visées au paragraphe 1 sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante.

(…)

6. Sans préjudice des dérogations prévues aux articles 5 et 6, le prestataire de services de paiement du donneur d’ordre n’effectue aucun transfert de fonds tant qu’il ne s’est pas assuré que le présent article est pleinement respecté ».

2. Transferts de fonds au sein de l’Union

« 1. Par dérogation à l’article 4, paragraphes 1 et 2, les transferts de fonds pour lesquels tous les prestataires de services de paiement intervenant dans la chaîne de paiement sont établis dans l’Union sont accompagnés au moins du numéro de compte de paiement à la fois du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, de l’identifiant de transaction unique, sans préjudice des exigences en matière d’informations prévues dans le règlement (UE) no 260/2012, s’il y a lieu

2. (…), le prestataire de services de paiement du donneur d’ordre met à disposition, dans les trois jours ouvrables à compter de la réception de la demande d’informations du prestataire de services de paiement du bénéficiaire ou du prestataire de services de paiement intermédiaire, les informations:

a) pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, les informations sur le donneur d’ordre ou le bénéficiaire conformément à l’article 4 (supra).

b) pour les transferts de fonds n’excédant pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, au moins:

i) les noms du donneur d’ordre et du bénéficiaire et

ii) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.

(…) ».

3. Transferts de fonds vers l’extérieur de l’Union

« En cas de transfert par lots effectué depuis un donneur d’ordre unique à destination de bénéficiaires dont les prestataires de services de paiement sont établis en dehors de l’Union, l’article 4, paragraphe 1 (informations sur le donneur et le bénéficiaire), ne s’applique pas aux transferts individuels regroupés dans ces lots, dès lors que le lot contient les informations visées à l’article 4, paragraphes 1, 2 et 3, que ces informations ont été vérifiées conformément à l’article 4, paragraphes 4 et 5, et que les transferts individuels portent le numéro de compte de paiement du donneur d’ordre ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique ».

« Par dérogation à l’article 4, paragraphe 1, et, le cas échéant, sans préjudice des informations requises conformément au règlement (UE) no 260/2012, les transferts de fonds pour lesquels le prestataire de services de paiement du bénéficiaire est établi en dehors de l’Union, dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, sont au moins accompagnés des informations suivantes :

a) les noms du donneur d’ordre et du bénéficiaire et

b) les numéros de compte de paiement du donneur d’ordre et du bénéficiaire ou, lorsque l’article 4, paragraphe 3, s’applique, l’identifiant de transaction unique.

Par dérogation à l’article 4, paragraphe 4, (vérification de l’exactitude des informations), le prestataire de services de paiement du donneur d’ordre n’est pas tenu de vérifier les informations sur le donneur d’ordre visées au présent paragraphe à moins que le prestataire de services de paiement du donneur d’ordre:

a) ait reçu les fonds à transférer en espèces ou sous la forme de monnaie électronique anonyme ou

b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme ».

Sous – section 2. Obligations du prestataire de services de paiement du bénéficiaire

1. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire

« (1) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces pour détecter si, dans le système de messagerie ou dans le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système.

(2) Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:

a) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi dans l’Union, les informations visées à l’article 5

b) pour les transferts de fonds pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2

c) pour les transferts par lots pour lesquels le prestataire de services de paiement du donneur d’ordre est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2 en ce qui concerne ce transfert par lots

(3) Pour les transferts de fonds excédant 1 000 EUR, que ces transferts soient effectués en une transaction unique ou en plusieurs transactions qui semblent être liées, le prestataire de services de paiement du bénéficiaire vérifie, avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, l’exactitude des informations sur le bénéficiaire visées au paragraphe 2 du présent article, sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante (…)

(4) Pour les transferts de fonds dont le montant n’excède pas 1 000 EUR et qui ne semblent pas liés à d’autres transferts de fonds dont le montant, cumulé avec celui du transfert en question, excède 1 000 EUR, le prestataire de services de paiement du bénéficiaire n’est pas tenu de vérifier l’exactitude des informations sur le bénéficiaire, à moins que le prestataire de services de paiement du bénéficiaire:

a) effectue le versement des fonds en espèces ou sous la forme de monnaie électronique anonyme ou
b) ait des motifs raisonnables de suspecter des actes de blanchiment de capitaux ou de financement du terrorisme. (…) ».

1.1 Les procédures eu égard aux  informations manquantes et incomplètes

Principes

« Les PSP (…) doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.

Pour être efficaces, ces procédures doivent :
a) permettre au PSP (…) de repérer les informations dépourvues de sens

b) utiliser une combinaison de contrôles en temps réel et à posteriori et

c)déterminer les indicateurs de risque élevé devant alerter le PSP (…)

Obligations et recommandations 

« Afin de détecter et gérer ces transferts de fonds à information manquante ou incomplète, les PSP et PSPI doivent notamment mettre en place, et maintenir par une revue régulière, des politiques et procédures efficaces, mais aussi proportionnelles à la nature, la taille et la complexité́ de leurs activités. Ces politiques et procédures doivent également être proportionnées aux risques de BC/FT auxquels les PSP sont exposés. Ainsi, elles doivent par exemple déterminer de manière précise les transferts de fonds qui doivent être contrôlés en temps réel et ceux qui peuvent l’être a posteriori ».

« Les PSP du bénéficiaire (…) sont donc priés de se référer aux Orientations pour prendre connaissance :

–  des facteurs qu’ils devraient prendre en compte lors de l’élaboration et de la mise en œuvre des procédures de détection et de gestion des transferts de fonds qui ne comportent pas les informations requises sur le donneur d’ordre et/ou le bénéficiaire ».

1.2 Les informations « dépourvues de sens »

« Les PSP et (…) devraient traiter les informations dépourvues de sens comme s’il s’agissait d’informations manquantes.

Les informations dépourvues de sens peuvent être des chaînes de caractères aléatoires (par exemple, «xxxxx» ou «ABCDEFG») ou des informations qui n’ont manifestement aucun sens (par exemple «autre» ou «mon client»), même si ces informations ont été fournies à l’aide de caractères ou d’éléments conformes aux conventions des systèmes de messagerie ou de paiement et de règlement utilisés.

Lorsque les PSP (…)  utilisent une liste de termes fréquemment jugés comme étant dépourvus de sens, ils doivent revoir cette liste régulièrement pour s’assurer qu’elle reste pertinente. Dans ces cas, il n’est pas attendu des PSP (…) qu’ils examinent les transactions manuellement pour détecter les informations dépourvues de sens ».

1.3 Les indicateurs de risque

Dans le cadre de la mise en place des procédures de détection des informations manquantes, les PSP tiendront dûment compte des facteurs de risque renseignés dans le chapitre premier (« l’approche basée sur les risques »).

2. Gestion des transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes ou incomplètes

« Le prestataire de services de paiement du bénéficiaire applique des procédures efficaces, fondées sur les risques, y compris des procédures fondées sur l’appréciation des risques visée à l’article 13 de la directive (UE) 2015/849, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations complètes requises sur le donneur d’ordre et le bénéficiaire et pour prendre les mesures de suivi qui s’imposent ».

« Lorsque le prestataire de services de paiement du bénéficiaire constate, lorsqu’il reçoit un transfert de fonds, que les informations (sur le donneur d’ordre ou sur le bénéficiaire) sont manquantes ou incomplètes ou que les champs concernant ces informations n’ont pas été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions du système de messagerie ou du système de paiement et de règlement (…), le prestataire de services de paiement du bénéficiaire rejette le transfert ou demande les informations requises sur le donneur d’ordre et le bénéficiaire avant de créditer le compte de paiement du bénéficiaire ou de mettre les fonds à sa disposition, ou après cette opération, en fonction de l’appréciation des risques ».

Il incombera aux PSP de déterminer s’il faut exécuter/refuser/suspendre un transfert de fonds conformément aux procédures en vigueur, étant entendu qu’ils prendront dûment en compte les risques impliqués liés à ce transfert de fonds avant de décider de la marche à suivre.

Le professionnel évalue si les informations manquantes soulèvent des préoccupations en matière de blanchiment.

« Si un PSP (…)  décide de rejeter un transfert de fonds, il n’est pas tenu de demander les informations manquantes, mais il devrait indiquer la raison du rejet au prestataire de services de paiement intervenant en amont dans la chaîne de paiement.

Quand le PSP (…) décide de suspendre un transfert de fonds, il devrait en informer le prestataire de services de paiement situé en amont dans la chaîne de paiement et lui demander de fournir les informations manquantes sur le donneur d’ordre ou le bénéficiaire, ou de fournir ces informations en utilisant des caractères ou d‘éléments admissibles ». (…)

« Lorsque les informations demandées ne sont pas fournies dans le délai fixé, le PSP (…) devrait, conformément à ses politiques et procédures fondées sur les risques:

a)  décider de rejeter ou d’effectuer le transfert ;

b)  déterminer si le fait que le PSP intervenant en amont dans la chaîne de paiement n’ait pas fourni les informations requises suscite ou non un soupçon de BC-FT  et

c)  envisager les mesures à mettre en œuvre à l’égard du PSP intervenant en amont dans la chaîne de paiement au regard des dispositions en matière de LCB-FT ».

3. Évaluation et obligation de déclaration

« Le prestataire de services de paiement du bénéficiaire prend en compte les informations manquantes ou incomplètes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la cellule de renseignement financier (CRF) conformément à la directive (UE) 2015/849 ».

« Les PSP (…) devraient évaluer si un transfert de fonds est suspect ou non, en tenant compte de tous les critères établis par le droit de l’Union, la législation nationale et leurs propres politiques et procédures internes en matière de LCB-FT.

Les PSP (…) devraient garder à l’esprit que les transferts de fonds ne contenant pas les informations requises ou complétées à l’aide de caractères ou d’éléments inadmissibles ne peuvent, pour ces seules raisons, donner lieu à un soupçon de BC-FT. Lorsqu’ils évaluent le caractère suspect ou non d’un transfert de fonds, ils devraient tenir compte de l’ensemble des facteurs de risque de BC-FT associés au transfert de fonds (…), dans la mesure où ils sont connus, et accorder une attention particulière aux transferts de fonds susceptibles de présenter un risque plus élevé́ de BC-FT.

Les PSP (…) devraient être en mesure de démontrer qu’ils se conforment au droit de l’Union directement applicable ainsi qu’à la règlementation nationale en matière de LCB-FT ».

Sous – section 3. Obligations des prestataires de services de paiement intermédiaires (« PSPI »)

Les obligations incombant au PSPI présentent de nombreuses similarités avec celles du PSP du bénéficiaire.

1. Conservation des informations sur le donneur d’ordre et le bénéficiaire avec ce transfert de fonds

« Les PSPI veillent à ce que toutes les informations reçues sur le donneur d’ordre et le bénéficiaire qui accompagnent un transfert de fonds soient conservées avec ce transfert ».

Le PSPI veillera à ne pas altérer les données.

2. Détection d’informations manquantes sur le donneur d’ordre ou le bénéficiaire 

« Le PSPI applique des procédures efficaces pour détecter si, dans le système de messagerie ou le système de paiement et de règlement utilisé pour effectuer le transfert de fonds, les champs devant contenir les informations sur le donneur d’ordre et le bénéficiaire ont été complétés à l’aide de caractères ou d’éléments admissibles conformément aux conventions de ce système».

« Les PSPI devraient contrôler les transferts de fonds afin de détecter si les caractères ou les éléments utilisés pour fournir les informations sur le donneur d’ordre et sur le bénéficiaire sont conformes aux conventions du système de messagerie ou du système de paiement et de règlement utilisé pour effectuer le transfert de fonds. Ces contrôles devraient être effectués en temps réel.

(…) les PSPI peuvent considérer qu’ils satisfont aux exigences respectivement fixées (…) à l’article 11, paragraphe 1, du règlement (UE) 2015/847, s’ils ont pu s’assurer et peuvent démontrer à leur autorité́ compétente qu’ils comprennent les règles de validation du système de messagerie ou du système de paiement et de règlement (…) ».

« Le PSPI applique des procédures efficaces, y compris, le cas échéant, un contrôle a posteriori ou en temps réel, pour détecter l’absence éventuelle des informations suivantes sur le donneur d’ordre ou le bénéficiaire:

a) pour les transferts de fonds pour lesquels les PSP du donneur d’ordre et du bénéficiaire sont établis dans l’Union, les informations visées à l’article 5

b) pour les transferts de fonds pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2

c) pour les transferts par lots pour lesquels le PSP du donneur d’ordre ou du bénéficiaire est établi en dehors de l’Union, les informations visées à l’article 4, paragraphes 1 et 2, en ce qui concerne ce transfert par lots.

3. Transferts de fonds pour lesquels des informations sur le donneur d’ordre ou le bénéficiaire sont manquantes

« (…) les PSPI doivent mettre en œuvre des procédures efficaces pour détecter si les informations requises sur le donneur d’ordre ou sur le bénéficiaire sont manquantes.

Pour être efficaces, ces procédures doivent:

a)  permettre (…) au PSPI de repérer les informations dépourvues de sens

b)  utiliser une combinaison de contrôles en temps réel et à posteriori  et

c)  déterminer les indicateurs de risque élevé devant alerter (…) le PSPI ».

« Le PSPI met en place des procédures efficaces, fondées sur les risques, pour déterminer s’il y a lieu d’effectuer, de rejeter ou de suspendre un transfert de fonds qui n’est pas accompagné des informations requises sur le donneur d’ordre et le bénéficiaire, et pour prendre les mesures de suivi qui s’imposent.

(…) »

4. Évaluation et obligation de déclaration

« Le prestataire de services de paiement intermédiaire prend en compte les informations manquantes sur le donneur d’ordre ou le bénéficiaire comme un facteur pour apprécier si un transfert de fonds, ou toute transaction qui s’y rattache, présente un caractère suspect et doit être déclaré à la CRF conformément à la directive (UE) 2015/849 ».

Sous – section 4. Informations, protection des données et conservation des informations

1. Communication d’informations aux autorités 

« Les prestataires de services de paiement (PSP) donnent suite, de manière exhaustive et sans tarder, y compris par l’intermédiaire d’un point de contact central conformément à l’article 45, paragraphe 9, de la directive (UE) 2015/849, lorsqu’un tel point de contact a été désigné, et conformément aux exigences de procédure fixées par le droit national de l’État membre où ils sont établis, aux demandes émanant exclusivement des autorités dudit État membre responsables de la prévention et de la lutte contre le blanchiment de capitaux ou le financement du terrorisme pour ce qui est des informations requises en vertu du présent règlement ».

2. Protection des données

« Le traitement des données à caractère personnel effectué au titre du présent règlement est soumis à la directive 95/46/CE (…).

« Les données à caractère personnel ne sont traitées par des prestataires de services de paiement sur la base du présent règlement qu’aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme et ne font pas l’objet d’un traitement ultérieur d’une manière incompatible avec lesdites finalités. Le traitement des données à caractère personnel sur la base du présent règlement à des fins commerciales est interdit ».

« Les prestataires de services de paiement communiquent aux nouveaux clients les informations requises au titre de l’article 10 de la directive 95/46/CE avant d’établir une relation d’affaires ou d’exécuter une transaction à titre occasionnel. Ces informations contiennent en particulier un avertissement général concernant les obligations légales des prestataires de services de paiement au titre du présent règlement lorsqu’ils traitent des données à caractère personnel aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ».

« Les prestataires de services de paiement veillent à ce que la confidentialité des données traitées soit respectée ».

 

3. Conservation des informations

« 1) Les informations sur le donneur d’ordre et le bénéficiaire ne sont pas conservées au-delà de ce qui est strictement nécessaire. Le prestataire de services de paiement du donneur d’ordre et celui du bénéficiaire conservent pendant une durée de cinq ans les informations visées aux articles 4 à 7 du règlement ».

« 2) À l’issue de la période de conservation visée au paragraphe 1, les prestataires de services de paiement veillent à ce que les données à caractère personnel soient effacées, sauf dispositions contraires du droit national, lequel précise dans quelles circonstances les prestataires de services de paiement peuvent ou doivent prolonger la période de conservation des données. Les États membres ne peuvent permettre ou exiger que les informations soient conservées plus longtemps que s’ils ont au préalable procédé à une évaluation approfondie de la nécessité et de la proportionnalité de cette conservation prolongée et qu’ils l’ont jugée justifiée en raison de la nécessité de prévenir ou de détecter des actes de blanchiment de capitaux ou de financement du terrorisme ou d’enquêter en la matière. Cette période de conservation prolongée ne dépasse pas cinq ans ».

Sous- section 5. Sanctions

« Sans préjudice du droit de prévoir et d’imposer des sanctions pénales, les États membres arrêtent le régime de sanctions et de mesures administratives applicables en cas d’infraction aux dispositions du présent règlement et prennent toutes les mesures nécessaires pour garantir sa mise en œuvre. Les sanctions et mesures prévues sont effectives, proportionnées et dissuasives, et en adéquation avec celles qui sont fixées en application du chapitre VI, section 4, de la directive (UE) 2015/849.

Les États membres peuvent décider de ne pas fixer de régime de sanctions ou de mesures administratives pour les infractions aux dispositions du présent règlement qui sont déjà passibles de sanctions pénales dans leur droit national. Dans ce cas, les États membres communiquent à la Commission les dispositions pertinentes de leur droit pénal. (…) ».

« En cas de violation de (certaines) dispositions (…) du règlement (UE) 2015/847, la CSSF peut infliger les amendes d’ordre (…) aux entités visées (…) ainsi qu’aux membres de leurs organes de direction, à leurs dirigeants effectifs, ou aux autres personnes responsables de la violation ».

 

Section 2. Fraude relative aux transferts de fonds : les faux ordres de virement 

Le professionnel se demande s’il a potentiellement affaire à un cas de figure relevé par la CRF :

LES TYPOLOGIES CONSTATEES

• La fraude au président (“CEO Fraud”) par laquelle un fraudeur sera en mesure de convaincre le service comptabilité d’une entreprise, en se faisant passer pour le PDG, de procéder à un virement sur un compte situé à l’étranger.
• L’utilisation de fausses factures adressées au service comptabilité d’une société peut comprendre plusieurs variations. Un fraudeur peut par exemple entrer dans le système informatique d’une entreprise pour connaître ses cocontractants et des paiements qui leur sont dus dans des délais précis.
• L’attaque de « l’homme du milieu » (c’est-à-dire un pirate du web interceptant des communications électroniques)
• Les courriels « piratés » (ceux d’intermédiaires financiers par exemple) visant à amener le professionnel à exécuter des ordres de virement non autorisés.

L’ASTUCE DES FRAUDEURS

Les fraudeurs ont toujours recours à l’ingénierie sociale (“social engineering”) pour tromper leurs victimes, les ayant mis en confiance et les empêchant de se poser des questions sur la légitimité des transferts exécutés .

Dans la plupart des affaires analysées par la CRF, le client n’a informé sa banque ou déposé une plainte auprès de la police ou du parquet que plusieurs jours après les faits. Or, les chances de récupérer les fonds plusieurs jours après l’exécution du virement tendent vers zéro. Les premières 24 heures sont cruciales pour envisager de recouvrer les fonds. Une intervention dans les 72 heures peut parfois encore aboutir à un résultat satisfaisant.

Seule une vigilance accrue des transactions du client par l’établissement financier concerné est susceptible de parer à l’absence de réaction de la part du client.

MESURES PREVENTIVES

Divers indicateurs existent afin de déceler des virements frauduleux. Ces indicateurs peuvent être d’application générale et peuvent notamment impliquer:

• des montants substantiels/ d’un montant élevé en contrepartie de l’exécution de contrats importants. Selon la CRF, il n’est pas rare que le virement porte sur des sommes dépassant 100.000 euros ou même 100.000 euros.
• des comptes bénéficiaires utilisés dans le cadre de faux ordres de virement et déjà connus
• l’utilisation de ”money mules” (une personne qui transfère des fonds obtenus illégalement entre différents comptes bancaires ou autres, très souvent dans différents pays, pour le compte d’autrui).

Il existe aussi des critères se rapportant au compte de la victime ou au compte de l’auteur (titulaire du compte bénéficiaire):

Titulaire du compte bénéficiaire :

• incohérence du montant de la transaction
• incohérence par rapport à l’activité du client

Compte de la victime/ comportements inhabituels/autres facteurs : 

• relation d’affaire existante mais compte bénéficiaire incohérent
• nouveau compte bénéficiaire
• urgence/ confidentialité de la transaction
• non-respect du principe des quatre yeux
• pièces justificatives inhabituelles/ incohérences dans la documentation fournie
• noms de domaines frauduleux (phishing/pharming): les instructions viennent d’un compte de messagerie ressemblant étroitement au compte de messagerie du client (par ex. contact@abc.com au lieu de contact@abc.lu)
• instruction du chef d’un nouvel employé ou instructions données seulement par e-mail.

LA DECLARATION PAR LE PROFESSIONNEL A LA CRF

Le professionnel détenant le compte de la victime doit réagir rapidement afin d’avoir le plus de chance de recouvrir les fonds.

Après avoir informé l’établissement financier bénéficiaire, le professionnel fait immédiatement une déclaration d’opération suspecte (DOS) à la CRF.

Si l’exécution du virement a été faite depuis moins de 72 heures, le professionnel :

• peut faire une première DOS sommaire, renseignant avec précision toutes les informations sur la ou les transaction(s) suspecte(s), ainsi qu’une motivation en quelques mots. Le professionnel s’oblige à fournir tout détail supplémentaire dans les 24 heures.
• contacte la CRF par téléphone après avoir envoyé la DOS.

Le professionnel détenant le compte du suspect  doit immédiatement faire une DOS à la CRF. La CRF décidera d’un ordre de blocage.

                                                                                                                                      ***