LCB-FT et contradictions de jurisprudences

1. Les effets de bord de la jurisprudence sur l’activité des établissements

La jurisprudence ACPR est un bon indicateur des tendances européennes en matière de LCB-FT sur les dix dernières années. Jusqu’en 2016, la jurisprudence respectait les principes de l’obligation de moyens établie par la troisième directive. A partir de 2017, l’ACPR inflige des sanctions LCB-FT pour des motifs de plus en plus variés, au point parfois de dépasser les bornes.

Là où auparavant la sanction était liée à l’infraction, c’est-à-dire au blanchiment ou au non-gel des avoirs, elle s’étend à tous les détails de la réglementation : manque d’organisation du dispositif (BNP mai 2017), classification insuffisante des risques (Crédit Agricole juin 2017), délais trop longs (Société Générale juillet 2017). Dans la sanction LBP de décembre 2018, l’ACPR précise que la LCB-FT fait désormais l’objet d’une obligation de résultat.  A partir de 2018, elle va même au-delà de l’obligation réglementaire : non-respect de règles internes (Western Union janvier 2018), manque de clauses contractuelles (Banque d’Escompte juillet 2019), application rétroactive de la loi (Only Payment janvier 2020), manque de cohérence entre les applications (ING février 2021). Au risque de décrédibiliser la pertinence les sanctions.

D’autres autorités européennes ont visiblement suivi la voie de la sévérité, puisqu’à l’échelle de l’Union la tolérance zéro, voire négative, des superviseurs, donne lieu à un abandon significatif de segments d’activité ou de clientèle, lorsque le coût de la LCB-FT excède la rentabilité des produits. Dans sa réponse au sondage de l’EBA sur le de-risking, la Fédération Bancaire Européenne souligne que des sanctions excessives pour des infractions de plus en plus mineures sont le principal facteur de de-risking, juste avant le coût non rentable des mesures de LCB-FT. D’abord montrées du doigt pour leur incitation au shadow banking, les stratégies de de-risking apparaissent de plus en plus comme un frein au rôle des établissements dans l’économie, et les régulateurs se penchent sur les effets pervers des stratégies induites par la jurisprudence.

La révision des lignes directrices EBA en mars 2021 marque un tournant dans l’appréhension des exigences LCB-FT, même si celui-ci est timide au premier abord. En permettant de réduire le risque lié au client par le risque lié au produit, l’EBA rompt avec l’ancienne acceptation de « higher risk ». En 2022, dans ses nouvelles lignes directrices relatives à la connaissance client, l’ACPR précise la nécessité de traiter les risques faibles comme tels. Enfin, on notera que le nouveau package européen LCB-FT se focalise sur l’harmonisation des exigences minimales en matière de due diligence, et contribue à modérer certains excès de transposition, ou d’interprétation, des dernières directives. Il reste à espérer que la jurisprudence suivra, … ce qui n’était toujours pas le cas fin 2022.

2. Impacts des nouvelles jurisprudences sur les fournisseurs de données

Si nous laissons de côté les régulateurs et autorités de supervision dédiés, les derniers textes problématiques en matière de LCB-FT sont issus de sources inattendues.

Ainsi, la sanction de la CNIL à l’égard de Clearview pose la question de la légitimité des fournisseurs de données. En effet, s’il est interdit de collecter des photographies publiées en ligne et d’en vendre un accès structuré, comment légitimer que certains fournisseurs de données non seulement collectent des informations privées, incluant des photographies, mais les lient à des articles faisant état d’infractions ou de condamnations, plus ou moins avérées, afin de les vendre par API ou associées à un moteur de recherche ? L’obligation réglementaire ? Eh bien non, puisque les fournisseurs de données, au contraire de leurs clients, ne sont pas des établissements assujettis. D’après les lignes directrices EBA sur les externalisations, ils ne peuvent même pas bénéficier du statut de prestataires de services externalisés, qui pourrait étendre l’obligation réglementaire de leurs clients.

Puisque l’on parle d’API, le projet de recommandation de la CNIL sur le sujet devrait également impacter les fournisseurs de données, puisqu’il est en effet peu probable qu’ils soient actuellement en mesure de mettre en œuvre les obligations d’information et de gestion des droits qui en découlent.

Et toujours sur le sujet des fournisseurs de données, la décision de la CJEU du 22 novembre 2022 de fermer l’accès public aux registres des bénéficiaires effectifs risque également d’impacter leur activité. Encore une fois, n’étant pas organismes assujettis, sur quels critères fonder leur accès à des données conçues pour la LCB-FT ? Heureusement pour eux que pour l’instant, les registres nationaux semblent plutôt fermer leurs accès pour des raisons financières que pour des raisons de protection de la vie privée, et que la France a suspendu l’application de la décision en attente d’une étude d’impact.

Si ces décisions ne bouleverseront pas à court terme l’activité des services conformité et de leurs sous-traitants, principalement parce que les processus LCB-FT ont une certaine tendance à l’inertie, elles présentent à moyen terme un risque de réduction de la capacité d’utilisation des donnée, voie un risque de litige non négligeable, qu’il serait bon d’anticiper.

3. Marge de manœuvre des établissements

A l’inverse des jurisprudences précédentes, la décision du Conseil d’Etat du 22 juillet 2022 jette un pavé dans la mare des superviseurs. En effet, si les lignes directrices, qu’elles soient de l’ACPR ou de l’EBA, peuvent aller aussi loin qu’elles le veulent dans l’interprétation, mais également dans la création de réglementations, elles restent des textes incitatifs et non contraignants. Est-ce annoncer la fin des sanctions fondées sur l’interprétation du superviseur, ou le début des appels pour absence de fondements réglementaires ? Si la dernière option est risquée pour les bonnes relations entre les établissements et leurs superviseurs, elle est envisageable en cas de risque financier excessif.

Alors quelle est la voie à suivre pour les établissements assujettis ? Malheureusement, l’opinion de l’EBA sur le de-risking n’apporte aucune solution concrète au problème. « Mieux appliquer l’approche par les risques » revient juste à élargir le champ d’action de l’arbitraire jurisprudentiel.  Optimiser les processus, comme par exemple affiner les systèmes de scoring ou externaliser le traitement des alertes de premier niveau, aboutira au même résultat. Or, toute solution plus fine ou plus complexe présente un cost of compliance incompatible avec la rentabilité de certaines activités.

Paradoxalement, la voie de salut pour les établissements peut être l’exact opposé de l’approche détaillée suggérée par les superviseurs. Sur le modèle des guidelines EBA de mars 2021, il est possible de construire un système uniforme d’approche par les risques, applicable à l’ensemble des activités d’un établissement, fondé sur un score où chaque axe d’évaluation peut être aussi bien positif que négatif. C’est-à-dire, d’une part, sortir de la politique du « higher risk », et éviter le coût excessif de diligences étendues pour des segments entiers de clientèle. D’autre part, éviter de multiplier les traitements particuliers et les alertes dues à des paramétrages hors normes.

Bien sûr, simplifier à l’extrême la partie évaluation des risques au niveau de la connaissance client implique en aval des mécanismes plus élaborés de détection des opérations suspectes. Mais les évolutions techniques actuelles le permettent. Traitement massif des données transactionnelles, référentiels dotés de mise à jour automatisée des informations et intelligence artificielle sont à la portée des établissements. Moins de paperasserie pour plus d’efficacité, telle devrait être leur orientation opérationnelle.

Mais c’est là que vont entrer en jeu les droits des individus : à ne pas figurer dans un fichier de negative news, à faire effacer des données qui n’ont pas été régulièrement acquises par les établissements, ou à obtenir la révision manuelle d’une décision automatisée. Si ceci ne concerne que la population de clients particuliers, et de particuliers non-clients associés (bénéficiaires effectifs, cautions, etc.), il faudra incorporer dans les processus le principe de privacy by design, et prévoir au budget les conséquences opérationnelles d’une automatisation systématique.

Et du côté de la jurisprudence des superviseurs ? Eh bien là aussi, l’optimisation passe par la standardisation. Des procédures simples et réalistes, renvoyant les complexités et les détails à des paramétrages d’outils. Rien dans la réglementation n’indique d’une classification des risques doive figurer sur du papier et non dans un référentiel tiers ou produit. Le futur règlement DORA exigera de toute façon la maîtrise du fonctionnement des systèmes Autant s’en servir pour diminuer le plus possible l’écart entre théorie et pratique, entre procédure et paramétrage.

En guise de conclusion, la devise des établissements en matière le LCB-FT devrait être « bien faire et laisser dire ». Garder en mémoire que la jurisprudence ne fait pas toujours la loi, en particulier lorsque différents régulateurs se contredisent. Et de même que les clients peuvent faire valoir leurs droits, envisager de faire de même lorsque cela se justifie.