L’ACPR et Tracfin mettent à jour les lignes directrices sur la surveillance des opérations et les obligations déclaratives
Cela faisait plus de trois ans que l’ACPR n’avait pas publié de nouvelles lignes directrices. Des révisions des textes déjà en place étaient cependant discutées depuis plusieurs mois avec les professionnels du secteur. L’Autorité, conjointement avec Tracfin, viennent de mettre à jour les lignes directrices portant sur les obligations de vigilance sur les opérations et les obligations de déclaration. La version précédente datait de 2018, et des éclaircissements étaient attendus de longue date.
Pour rappel, les lignes directrices constituent un document de nature explicative visant à expliciter la règlementation. Elles sont considérées comme une source de droit souple, et m'ême si elles sont formellement non contraignantes, la conformité des dispositifs de LCB-FT à ces textes peut faire l’objet de contrôles.
Approche par les risques, focus sur les opérations… et mention de l’utilisation de l’IA
Que retenir de cette nouvelle version ? Sur la structure du texte, les changements sont limités : s’il comprend toujours une partie dédiée aux obligations de vigilance, une large partie dédiée aux obligations de déclaration de soupçon, et des parties plus spécifiques portant sur les modalités opérationnelles de ces obligations, on remarque que les sections dédiées à la vigilance des opérations prennent désormais davantage de place, et sont distinctes des obligations déclaratives.
Sur le fond, quelques pistes sont évoquées en introduction : la nouvelle version des lignes directrices prend bien sûr en compte les évolutions règlementaires récentes, tel que l’arrêté du 6 janvier 2021, mais aussi et surtout la jurisprudence de la commission des sanctions de l’ACPR. Une dimension interprétative bienvenue pour les professionnels des secteurs concernés. Et justement, le périmètre des personnes citées par le texte a évolué puisqu’il intègre désormais, sans surprise, les prestataires de services sur actifs numériques (PSAN).
S’agissant des mesures de vigilance, il convient de noter la place croissante apportée à l’approche par les risques par rapport à la précédente version du texte : celle-ci s’applique aussi bien à la détermination des profils des relations d’affaires, qu’à la mise à jour de ces profils et à la vigilance à l’égard des opérations. Si la version 2018 des lignes directrices se focalisait surtout sur le risque porté par les clients, le version 2025 s’attarde davantage sur le volet opérations… et propose un encart intéressant sur le recours à l’intelligence artificielle dans le processus de surveillance. On y lit ainsi que l’IA peut être utilisée de manière utile aux fins d’identification de schémas d’alertes affinés, aux contrôles à posteriori ou même à l’identification d’opérations atypiques directement. Des pistes expérimentées depuis déjà quelques années, notamment dans les grands groupes, mais sur lesquelles l’ACPR ne s’avance pas outre mesure, se contentant d’indiquer que le recours à l’IA « nécessite un pilotage des différentes phases […] afin d’assurer son efficacité ». En tout état de cause, un dispositif de surveillance des opérations ne peut pas encore entièrement s’appuyer sur l’IA.
Le nouveau texte mentionne également la nécessité de prendre en compte, dans la détermination des profils de risque, les appels à vigilance de Tracfin et les facteurs de risque identifiés par le COLB et les régulateurs. Une pratique implicite jusqu’à présent, désormais formalisée dans les textes.
Les nouvelles lignes directrices se montrent également plus précises s’agissant des paramétrages des outils, citant des exemples et des indicateurs à prendre en compte pour mesurer la performance d’un outil automatisé – par exemple un taux de conversion des alertes en DS trop faible, soulignant la nécessiter de réviser les seuils des scénario de détection des opérations atypiques.
Les DS, y compris sur les non clients
Du côté des éléments moins attendus, toujours dans la partie opérations, citons l’encart dédié à la surveillance des retraits en espèces aux distributeurs de billets : la nouvelle version des lignes directrices indique ainsi qu’un retrait d’un montant particulièrement élevé, ou une succession de retraits rapides pourraient justifier une DS… y compris à l’égard d’une personne n’étant pas cliente de la banque proposant le distributeur. La banque en question devrait ainsi procéder à une déclaration avec très peu d’informations puisque n’ayant pas de relation d’affaires avec la personne en question. A défaut, il s’agit donc de transmettre les modalités de l’opération et les informations relatives à la carte bancaire utilisée.
Le texte s’arrête aussi sur le risque de fraude documentaire, avec une précision sur la pertinence de déclarer toute opération pour laquelle des faux documents, notamment via le recours à des pratiques de deepfake, auraient été identifiés.
Pas de surprise du côté des obligations de DS : ni les conditions d’émission d’une DS, ni les formalités de déclaration n’ont fondamentalement changé ces dernières années. Le principe d’une DS est rappelé, de même que les obligations de partage d’informations relatives à une déclaration au sein d’un même groupe. On notera toutefois un encart portant sur la présomption de blanchiment, et des précisions sur les délais de déclaration, reposant notamment sur les griefs retenus par la commission des sanctions de l’ACPR : il est ainsi acté que la date à retenir pour calculer le délai d’envoi d’une DS doit correspondre à la date « à partir de laquelle les opérations ont pu apparaître comme suspectes et non celle du déclenchement d’une alerte interne ».
Les lignes directrices intègrent enfin une partie dédiée à l’articulation entre dispositif de DS et dispositif de sanctions, ainsi que des précisions sur les réquisitions judiciaires.
Dans les grandes lignes, la nouvelle version des lignes directrices conserve l’esprit de celles publiées en 2018, mais vient les enrichir et les compléter pour constituer une nouvelle référence en matière de conduite à tenir dans la détermination et la mise en oeuvre d’un dispositif de surveillance des opérations. Les nouveautés sont peu nombreuses, et reposent surtout sur une extension du périmètre (intégrant désormais les PSAN), une accentuation des exigences en matière d’approche par les risques et des précisions sur les pratiques liées aux nouvelles technologies, notamment l’intelligence artificielle.
Le document est complet mais assez dense : nous recommandons aux chargés de conformité de le lire avec attention et de mettre à jour leur dispositif en conséquence. Il est disponible depuis le site internet de l’ACPR.
