Il y a à peine plus d’un an, le 8 novembre 2018, la Commission européenne décidait de poursuivre le Luxembourg devant la Cour de justice de l’UE, lui reprochant de n’avoir pas mis intégralement en œuvre les règles de lutte contre le blanchiment de capitaux prévues par la quatrième directive. Adoptée en mai 2015 celle-ci aurait dû être transposée avant le 26 juin 2017, avec entrée en vigueur du règlement à la même date. La Commission proposait à la Cour d’imposer une somme forfaitaire et des astreintes journalières jusqu’à ce que le Luxembourg ait pris les mesures nécessaires. Pour sa défense le gouvernement a rappelé avoir déjà transposé la quatrième directive au travers de deux lois nationales, adoptées en février et en août 2018 : c’était bien après la date butoir prévue, mais les autorités ont promis que « le cadre législatif sera complété par la transposition de la cinquième directive anti-blanchiment, dans les délais prévus par la directive ».
En effet une nouvelle directive, la cinquième, a été adoptée en avril 2018, moins d’un an après l’entrée en vigueur de la précédente, et sera applicable dès le 10 janvier 2020, soit dans cinq semaines ! Pourquoi un tel emballement dans la rédaction des directives anti-blanchiment, dont la première remonte à juin 1991 et a tenu dix ans et demi avant que la suivante soit adoptée ? C’est que de graves évènements socio-politiques ont conduit à raccourcir le délai de révision de la quatrième mouture : les attentats terroristes perpétrés en Europe en 2015, notamment à Paris en janvier et en novembre, puis la publication des « Panama papers » en 2015-2016, qui ont mis en évidence l’ampleur de la fraude fiscale au niveau mondial. D’autre part, des innovations technologiques comme les cryptomonnaies devaient être intégrées aussi tôt que possible. De ce fait, une modification de la directive a été proposée dès juin 2016 par la Commission européenne et un accord politique a été trouvé à la fin de 2017.
La cinquième directive LCB-FT précise et approfondit le texte de la précédente sur plusieurs points. Le champ d’application a été élargi aux acteurs du crypto-marché. Il est avéré que les cybercriminels et les terroristes font un large usage des cryptomonnaies, comme le Bitcoin. La technologie de blockchain, sur laquelle elles reposent, est bien adaptée aux transactions financières et reconnue pour les gains d’efficacité qu’elle engendre, mais elle comporte des risques jugés significatifs : fort degré d’opacité, notamment du fait de l’anonymat ou du semi-anonymat des transactions qui fait obstacle aux obligations de connaissance des clients, complexité technologique rendant difficile le contrôle du marché. Des plateformes telles que Binance, Coinbase, BitPanda ou encore Yobit seront désormais concernées par la mise en place d’un dispositif de LCB-FT avec, du côté des banques de détail notamment, un renforcement des mesures de vigilance lorsque des fonds semblent provenir du marché des crypto-actifs, tant que des dispositifs efficients n’y auront pas été mis en place.
La directive introduit le mécanisme de « supervision consolidée » du dispositif LCB-FT à l’échelle des groupes bancaires et d’assurance, en renforçant les pouvoirs de l’État membre où est établie la société-mère. Elle instaure une plus grande transparence concernant l’identité des propriétaires effectifs des entreprises et des trusts grâce à la création des registres des bénéficiaires effectifs, et prévoit la mise en place de registres nationaux centralisés des comptes bancaires et de paiement, accessibles à toutes les autorités de surveillance. Le Parlement et la Commission ont jugé crucial de limiter les relations d’affaires et les transactions impliquant des « pays tiers à haut risque » : comme certains d’entre eux présentent de graves carences dans leur dispositif LCB-FT, « une chasse à la législation la moins stricte » pourrait menacer le système financier en créant une brèche pour les criminels.
Désormais, il sera non seulement obligatoire pour les entreprises de fournir toutes informations nécessaires sur les bénéficiaires effectifs, les clients et l’origine des fonds, mais il est également imposer de décider de l’entrée en relation d’affaires ou de la poursuivre au niveau hiérarchique le plus élevé. Les États membres pourront aussi exiger des mesures complémentaires de vigilance comme une déclaration systématique des transactions financières, la limitation des transactions avec des ressortissants de ces pays ou refuser l’implantation de succursales ou filiales en provenant. Il sera également interdit de s’y installer.
L’identification numérique est légitimée dans le cadre des relations d’affaires à distance. Elle a été définie en juillet 2014 par le règlement eIDAS qui s’applique depuis juillet 2016 aux organismes du secteur public et aux « prestataires de services de confiance » tels que les assureurs. Elle est désormais considérée comme sécurisée et sûre, au même titre qu’une entrée en relation « face à face », alors que la réglementation voyait jusqu’ici la relation à distance comme très risquée en matière de risque LCB-FT. Parmi les autres mesures figure la limitation de l’utilisation des cartes prépayées, utilisées lors des attentats de Paris en 2015, et des monnaies électroniques « anonymes » aux fins du financement du terrorisme.
Reste à savoir comment toutes ces bonnes dispositions seront transposées. Entre retards et mauvaises rédactions, la traduction en droits nationaux de la quatrième directive n’avait pas été du gâteau et le Luxembourg n’a pas été le seul à se faire taper sur les doigts en 2018 : la Commission a en effet ouvert des procédures d’infraction contre 21 États membres ! Elle s’inquiète surtout d’un manque d’harmonisation (notamment en termes de délais) qui pourrait être exploité par des criminels. Mais une fois transposé, le texte devra encore être appliqué sur le terrain et on sait déjà que ce ne sera pas sans difficultés. Deux exemples.
Depuis juillet 2016, la Commission européenne tient une « liste noire » des pays tiers à haut risque, commune à l’ensemble des pays de l’UE. Elle est régulièrement mise à jour mais le 7 mars 2019, les gouvernements des 28 États membres ont rejeté la liste établie par le Parlement et la Commission, qui comprenait notamment l’Arabie Saoudite et quatre territoires américains, les Samoa américaines, les Îles vierges américaines, Porto Rico et Guam, pour cause de « manque de transparence lors de son élaboration ».
La consécration de l’identification numérique va alléger les exigences des institutions financières n’ayant que des relations à distance avec leur clientèle, un cas de plus en plus fréquent notamment du côté des fintechs : mais cela va nécessiter un remaniement de leur dispositif interne LCB-FT, qui devra ensuite être contrôlé, avec des risques financiers à la clé, car un peu partout en Europe les autorités de tutelle ne font pas de cadeaux.
Dans le seul secteur bancaire luxembourgeois, la CSSF a prononcé en 2019 deux sanctions administratives : la dernière en juillet, et pour un modeste montant de 15 000 euros, à l’encontre de la Banque Puilaetco Dewaay Luxembourg pour une « défaillance du dispositif de filtrage des fichiers clients par rapport aux listes de sanctions », corrigée depuis. Mais en janvier la banque lettone ABLV Bank Luxembourg - mise en sursis de paiement en mars 2018 puis dissoute et placée en liquidation judiciaire en juillet 2019 - avait écopé de l’amende maximale (de 250 000 euros au moment du contrôle) en raison de la gravité des manquements. En février 2018, sa maison-mère avait été déclarée en faillite par la BCE, suite à des accusations de blanchiment par le Trésor américain et d’implication dans le financement de programmes militaires en Corée du Nord. A noter que l’amende maximale est depuis passée, dans le cas d’une personne morale, à cinq millions d’euros ou dix pour cent du chiffre d’affaires annuel total !
Comme la mise en œuvre de la cinquième directive va s’ajouter à celles encore toutes récentes de la MIF II, de la DSP 2 et du RGPD, entre autres, c’est une aubaine pour les « regtechs », ces startups qui aident les institutions financières à se mettre en conformité avec de nouvelles législations, de plus en plus nombreuses et compliquées, tout en leur permettant de le faire au meilleur coût, car l’avalanche de réglementations commence à peser sur leur rentabilité.
L’activité de la CRF
Le blanchiment d’argent se présente de manière différente d’un pays européen à l’autre, aussi bien en nombre de cas déclarés que de typologie. En 2018 au Luxembourg la Cellule de Renseignement Financier (CRF) a reçu près de 56 000 déclarations, soit une hausse de plus de 44 pour cent en un an et une multiplication par cinq depuis 2015 ! Moins de 500 sont relatives au financement du terrorisme, mais elles sont sept fois plus nombreuses qu’en 2016.
Les banques sont à l’origine de moins de onze pour cent des déclarations de soupçon, avec pour principal motif le trafic de stupéfiants (un tiers des cas) devant la fraude (21 pour cent), un ensemble composite qui recouvre les escroqueries, l’abus de faiblesse ou de confiance, l’usure, la faillite frauduleuse et les abus de biens sociaux.
L’essentiel – plus de 86 pour cent- vient du secteur des « services monétaires » qui reprend les établissements de paiement et les établissements de monnaie électronique, mais n’a compté que neuf déclarants contre 83 parmi les banques. Les déclarations ont augmenté de moitié par rapport à 2017, et concernent à une majorité écrasante la fraude : 88,2 pour cent des cas, avec un doublement en un an. Le secteur des assurances est en revanche peu représenté (205 déclarations de soupçon, venant de 26 déclarants).
Dans les affaires de suspicion de blanchiment, le blocage de fonds reste en principe exceptionnel. Mais en 2018, la CRF a pris 5 312 mesures de blocage dans 4 113 dossiers différents pour un montant total de 87,5 millions d’euros, un montant sept fois supérieur à celui de 2017 pour cause de « dossiers en relation avec des affaires de corruption dans des États étrangers ». Le rapport de la CRF, publié en octobre 2019, présente une intéressante série « d’études de cas » sur la manière dont se réalisent les infractions fiscales, les faux virements, le financement du terrorisme et la corruption.