A RETENIR

Parlement européen et Conseil ont  adopté,  le 20 mai 2015, le 4e paquet anti-blanchiment tant attendu, applicable à échéance du 26 juin 2017.

Parlement européen et Conseil ont  adopté,  le 20 mai 2015, le 4e paquet anti-blanchiment tant attendu, applicable à échéance du 26 juin 2017. réglementaire : règlement dit « CMI » (règlement 2015/751 du 29 avril 2015 relatif aux commissions d’interchange pour les  opérations de paiement liées à une carte); réforme, en passe d’être adoptée, du texte fondateur (directive   sur   les   services   de   paiement  dite « DSP ») par une DSP 2 ; enfin, 4e paquet anti- blanchiment, composé d’une directive (directive 2015/849 du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme) et d’un règlement (règlement 2015/847 du 20 mai 2015 sur les informations accompagnant les transferts de fonds)2.

La directive comme le règlement anti-blanchiment procèdent d’une même idéologie, développée par le GAFI (Groupe d’action financière), celle de l’approche fondée sur les risques : « Lorsqu’elles mettent en œuvre une approche fondée sur les risques, les institutions financières et les entreprises et professions non financières désignées devraient disposer de processus d’identification, d’évaluation, de surveillance, de gestion et d’atténuation des risques de blanchiment  de  capitaux  et  de  financement  du terrorisme. Le principe général de l’approche fondée sur les risques est d’obliger les institutions financières et entreprises et professions non financières désignées à appliquer des mesures de vigilance renforcées lorsqu’il existe des risques plus élevés afin de les gérer et de les atténuer et, inversement, de permettre aux institutions financières et entreprises et professions non financières désignées d’appliquer des mesures de vigilance simplifiées lorsque les risques sont plus faibles » (Recommandations du GAFI, févr. 2012, p. 31).

Les établissements financiers, et leurs conseils, devraient se féliciter d’une telle approche, qui leur laisse le soin, et la responsabilité, d’évaluer le risque et de décider des mesures de vigilance adaptées. Il n’en demeure pas moins que la notion d’approche par les risques est « molle », sujette en conséquence aux interprétations des régulateurs, qu’il faudra bien décrypter. Elle est en tout cas dans l’air du temps, celui de l’accountability (en œuvre par exemple dans le futur règlement général européen sur la protection des données à caractère personnel), qui place la cartographie des risques au cœur des dispositifs anti-blanchiment et du contrôle interne.

S’il y avait une chose à retenir de notre paquet anti- blanchiment, c’est la place centrale occupée par la personne du bénéficiaire : bénéficiaire effectif dans la directive, bénéficiaire du paiement dans le règlement.

L’identification du bénéficiaire effectif est désormais systématique (les établissements financiers, précédemment, ne devaient y procèder que « le cas échéant ») : « Les mesures de vigilance à l'égard de la clientèle comprennent : a) l'identification du client et la vérification de son identité, sur la base de documents, de données ou d'informations obtenus d'une source fiable et indépendante ; b) l'identification du bénéficiaire effectif et la prise de mesures raisonnables pour  rifier l'identité de cette personne, de telle manière que l'entité assujettie ait l'assurance de savoir qui est le bénéficiaire effectif » (Dir., art. 13, 1). La nouveauté est encore que les clients personnes morales sont eux-mêmes astreints à identifier leurs bénéficiaires effectifs : « Les États membres veillent à ce que les sociétés et autres entités juridiques constituées sur leur territoire aient l'obligation d'obtenir et de conserver des informations adéquates, exactes et actuelles sur leurs bénéficiaires effectifs, y compris des précisions sur les intérêts effectifs détenus. / Les États membres veillent à ce que ces entités soient tenues de fournir, outre des informations sur leur propriétaire légal, des informations sur le bénéficiaire effectif aux entités assujetties lorsque celles-ci prennent des mesures de vigilance à l'égard de la clientèle conformément au chapitre II » (Dir., art. 30, 1).

Le règlement anti-blanchiment du 20 mai 2015, qui ne concerne que les prestataires de services de paiement  (PSP),  est  placé  sous  le  signe  de  la « traçabilité » des transferts de fonds tout au long de la « chaîne de paiement ». Partant, lorsque le texte  précédent  (règlement  n° 1781/2006   du 15 novembre 2006 relatif aux informations concernant le donneur d’ordre accompagnant les virements de fonds) se concentrait sur le donneur d’ordre, le nouveau entend atteindre aussi le bénéficiaire de l’opération de paiement. Non seulement faut-il savoir d’où les fonds proviennent, mais encore où ils vont. Avec cette conséquence tout à fait remarquable que le PSP du donneur d’ordre ne devra pas seulement connaître ses clients, mais aussi ceux des autres PSP. Disons que cela n’est pas courant…

Directive et règlement anti-blanchiment présentent encore l’intérêt d’aborder, enfin, la question cruciale de la protection des données à caractère personnel, replacée au sein de l’obligations générale d’évaluation des risques.

Le  considérant  42  de  la  directive  est  éloquent : « (…) Certains aspects de la mise en œuvre de la présente directive impliquent la collecte, l'analyse, la conservation et le partage de données. Ce traitement de données à caractère personnel devrait  être  autorisé  dans  le  plein  respect  des droits fondamentaux et seulement aux fins prévues dans la présente directive, et pour les activités nécessaires au titre de la présente directive, telles que l'application de mesures de vigilance à l'égard de la clientèle, l'exercice d'un contrôle continu, la conduite d'enquêtes sur les transactions inhabituelles et suspectes et la déclaration de ces transactions, l'identification du bénéficiaire effectif d'une personne morale ou d'une construction juridique, l'identification d'une personne politiquement exposée et le partage d'informations par les autorités compétentes ainsi que par les établissements de crédit, les établissements financiers et les autres entités assujetties. La collecte et le traitement ultérieur de données à caractère personnel par les entités assujetties devrait se limiter à ce qui est nécessaire au respect des exigences de la présente directive, et ces données ne devraient pas faire l'objet d'un traitement ultérieur d'une manière incompatible avec ces finalités. Le traitement ultérieur de données à caractère personnel à des fins commerciales, en particulier, devrait être strictement interdit ».

La prescription est inédite : les données à caractère personnel ne sont traitées par les entités assujetties sur la base de la directive ou du règlement qu'aux fins de la prévention du blanchiment de capitaux et du financement du terrorisme ; elles ne font pas l'objet d'un traitement ultérieur d'une manière incompatible avec lesdites finalités ; le traitement des données à caractère personnel sur la base de la directive ou du règlement à des fins commerciales est interdit (Dir., art. 41, 2 ; Règl., art. 15, 2).