Connaissance de la clientèle: qu’est-ce qui bloque?
BLL est expert en conformité réglementaire et AML officer au sein d’un cabinet de conseil spécialisé en Sécurité Financière. Il a travaillé en coopération avec établissements financiers internationaux.
La connaissance de la clientèle (KYC – Know Your Customer) est une exigence réglementaire bien connue des établissements financiers. Son contenu et ses modalités de formalisation ont pu varier ces dernières années, mais elle demeure relativement peu technique, ne constitue pas un sujet particulièrement récent, et surtout peut servir les intérêts commerciaux des sociétés qui y sont assujetties. Avec la numérisation des documents, les dossiers KYC sont facilement accessibles, les manquements immédiatement identifiables.
Une anomalie subsiste pourtant : le sujet de la connaissance client est un objet récurrent – quasi systématique – des sanctions pour déficiences LCB-FT. Dans notre analyse publiée il y a quelques mois, nous soulignions qu’un grief portant sur les exigences de KYC apparaissait dans 85% des sanctions en rapport avec la LCB-FT publiées ces deux dernières années.
Les défaillances en la matière sont récurrentes, et les sociétés de conseil sont d’ailleurs très souvent sollicitées pour y remédier. Mais alors, quels sont les facteurs qui posent problème ? Pourquoi un sujet qui devrait être si rodé constitue-t-il toujours une défaillance régulière dans les dispositifs des établissements ? Nous avons identifié quelques éléments de réponse.
1. Une exigence particulièrement complexe: l’identification des bénéficiaires effectifs
Les défaillances en matière d’identification des bénéficiaires effectifs constituent un grief récurrent des décisions de sanction pour infraction à la réglementation LCB-FT. La détermination du bénéficiaire effectif (BE) consiste à identifier la personne physique qui contrôle la personne morale, ou pour laquelle les opérations sont exécutées.
Le Code Monétaire et Financier (CMF) détermine les critères auxquels les BE doivent répondre (articles R.561-1 et suivants) ; il s’agit pour l’essentiel des cas de la ou des personnes physiques qui détiennent plus de 25% du capital de la société ou qui exercent un pouvoir de contrôle, d’administration ou de direction.
Lorsqu’un établissement entretient des relations d’affaires avec une personne morale (société, association, etc.), il ne doit donc pas seulement collecter les informations KYC relative à ce client, mais aussi procéder à un travail d’identification des BE et de collecte des informations d’identité de ces BE. Ces travaux sont souvent manuels et peuvent être laborieux, lorsqu’il existe plusieurs BE. Il est difficile de digitaliser le processus, de vérifier automatiquement et régulièrement que l’identification est complète, et l’absence partielle de collecte de pièces pour l’ensemble des BE est donc souvent sanctionnée par le régulateur.
La création du Registre des Bénéficiaires Effectifs (RBE), initiée à partir de 2017 et renforcée avec la mise à jour de la Directive anti-blanchiment (UE 2018/843) est supposée faciliter cette opération et devrait contribuer, à terme, à la réduction de défaillances en la matière.
2. Une réglementation relativement ambigüe : la connaissance de la relation d’affaires
S’agissant de la clientèle habituelle des établissements de crédit ou des sociétés assurantielles, on peut constater que les exigences de collecte d’information ne sont pas toujours très claires. En complément des obligations d’identification et de vérification de l’identité du client– qui sont en général bien employées et qui font rarement l’objet de griefs – la réglementation formule des exigences plus souples concernant la connaissance de la relation d’affaires, renvoyant à une approche par les risques. Dès lors, les obligations KYC se télescopent avec les sujets d’appétit au risque, de classification des risques et d’évaluation des niveaux de risque portés par les clients. Une appréciation des risques contestée par le régulateur peut donc mécaniquement déboucher sur un grief relatif à la connaissance de la relation d’affaires.
Parmi les informations et documents devant être collectés selon une approche par les risques, on peut notamment citer la justification de l’adresse du domicile, l’activité professionnelle et la situation financière. Cette dernière notion, mentionnée par les lignes directrices de l’ACPR relatives à la connaissance de la clientèle, réfère aux informations portant sur le revenu et le patrimoine du client. Or, le CMF ne précise pas clairement les attentes en la matière. L’article L.561-5-1 du CMF impose de recueillir « les informations relatives à l’objet et à la nature » de la relation d’affaires. Pour l’application de cet article, le R.561-12 précise « la nature et l'étendue des informations collectées ainsi que la fréquence de la mise à jour de ces informations et l'étendue des analyses menées sont adaptés au risque de BC-FT ». Enfin, en application de ce dernier article, l’article premier de l’arrêté du 2 septembre 2009 ajoute « les éléments d'information susceptibles d'être recueillis » sont : « les activités professionnelles actuellement exercées », « les revenus » et « tout élément permettant d’apprécier le patrimoine ».
Dans l’arrêté du 2 septembre 2009, l’emploi du terme « susceptible » laisse entendre qu’une telle collecte d’information n’est pas nécessairement systématique. Les lignes directrices de l’ACPR – qui n’ont pas la même valeur réglementaire – ne sont pas plus catégoriques, parlant d’éléments « pertinents à recueillir […], en principe » relatifs à la fonction exercée, aux revenus et au patrimoine.
Mais quels sont ces éléments ? Si on peut concevoir qu’un bulletin de paie peut donner des éléments d’information sur la profession et sur les revenus, il n’existe pas de document probant concernant l’estimation du patrimoine. Or, des décisions de la Commission des sanctions de l’ACPR ont déjà, par le passé, dénoncé l’absence de prise en compte de ces données dans le dispositif de détection des opérations atypiques.
Nous nous aviserons de donner des directives d’interprétation à ce propos, mais la complexité de la réglementation et l’ambiguïté des informations à collecter peut expliquer les difficultés des établissements financiers à se mettre en conformité.
3. Un sous-sujet de la connaissance client : l’identification des PPE
Les thèmes relatifs aux Personnes Politiquement Exposées (PPE) font régulièrement l’objet de griefs dans les décisions de sanction. S’ils sont souvent considérés comme un sujet à part, il s’agit bien d’une obligation relevant de la connaissance de la clientèle.
En 2021, les prestataires proposant des listes et des services d’identification et de filtrage des PPE sont nombreux. Pour autant, la question des PPE demeure relativement complexe : certains rôles sont difficiles à identifier – en particulier lorsque les clients n’ont pas eux-mêmes connaissance de leur statut de PPE (ce qui peut être le cas pour les dirigeants d’entreprises publiques ou pour les militaires dont le poste revêt une importance particulière). La difficulté est encore plus grande pour identifier les PPE associés (conjoints, descendants, etc.), qui n’ont pas conscience de leur statut et qui n’apparaissent souvent pas dans les listes. Il convient donc d’avoir un dispositif KYC apte à identifier toutes ces personnes, ce qui passe le plus souvent par la nécessité pour le client de remplir une auto-déclaration. Une absence d’un tel formulaire ou de la mise à jour d’information portant sur les PPE peut donc constituer une défaillance en matière de KYC. Cela peut même impliquer une double peine pour les banques : un PPE non identifié est une défaillance en soi, auquel s’ajoute un défaut de vigilance si, à l’origine, la personne n’est pas en situation de vigilance renforcée.
4. Une conséquence des exigences KYC : les revues des dossiers clients
Autre conséquence des exigences réglementaires portant sur la connaissance client, la nécessité de mettre à jour ces informations tout au long de la relation d’affaires. Concrètement, les établissements financiers doivent revoir les dossiers KYC et collecter des mises à jour des pièces à fréquence régulière, ou lors d’évènements particuliers, par exemple un changement d’adresse ou de profession. En l’absence d’évènement, une revue périodique doit être opérée selon une fréquence qui dépend du risque porté par le client.
Aussi, même si les informations et pièces KYC sont bien collectées lors de l’entrée en relation, un grief pour défaillance dans le dispositif de connaissance de la clientèle peut donc être retenu si les revues du dossier n’ont pas été faites selon la fréquence attendue, ou si les pièces n’ont été collectées que de manière partielle lors de cette revue. Cette situation n’est pas rare : lors d’une entrée en relation, les clients sont disposés à communiquer toutes les pièces requises puisqu’elles conditionnent la prestation. En revanche, il est plus difficile d’obtenir de nouvelles pièces quelques années après, lorsque la relation est établie, les clients pouvant se montrer réticents. Sur certains forums de consommateurs, on peut ainsi trouver des clients se plaignant des relances de leur banque quant à l’obtention de nouveaux bulletins de paie, estimant que ces informations ne sont demandées qu’à titre commercial.
5. La supervision des régulateurs cible particulièrement la connaissance client
La dernière raison de la persistance de griefs sur les KYC que nous avons identifiée est d’ordre mathématique: le contrôle d’échantillons de dossiers clients est un contrôle relativement simple à effectuer pour le superviseur, et qui peut se répéter de la même manière quelle que soit l’entité ciblée. De fait, le sujet est systématiquement revu lors d’une mission sur la LCB-FT, et se retrouve mécaniquement dans de nombreuses décisions de sanction. A l’inverse, les thématiques plus spécifiques comme celles portant sur le gel des avoirs ou même le dispositif de surveillance des opérations dépendront davantage du type d’établissement, de ses activités et de sa taille. La connaissance de la clientèle est donc surreprésentée dans les contrôles du régulateur.
BLL