KYC : tirer le meilleur parti des lignes directrices de l’ACPR
Publié le 13 mai 2019
Article co-écrit avec Alexandre Fenet-Garde, Associé Risk Advisory, Théodore Kovalkov et Dylan Bergounhe, consultants Risk Advisory.
Nourries par un contexte exacerbé de défiance à l’égard des institutions financières, les avancées de l’Union européenne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) n’ont fait que s’accélérer depuis la transposition en droit français en décembre 2016 de la 4ème directive anti-blanchiment. La 5ème directive, publiée en juin 2018, a jusqu’au 20 janvier 2020 pour être transposée par le législateur.
En dépit de coûts de conformité estimés en France en 2017 à 18,6 milliards de dollars par an dans les services financiers, principalement dans les ressources humaines et la technologie (respectivement 73% et 23% des coûts de conformité[1]), les sanctions prononcées sont toujours plus lourdes et fréquentes. Elles mettent en lumière les difficultés majeures que les organismes financiers assujettis rencontrent dans la mise en place des dispositifs piliers de la LCB-FT – entre autres la connaissance de la clientèle (Know Your Customer, ou KYC en anglais) et la surveillance des opérations.
Dans ce contexte, l’Autorité de contrôle prudentiel et de résolution (ACPR) a publié en décembre 2018 des lignes directrices visant à expliquer de manière claire les règles applicables en matière de KYC, et notamment les grands principes que sont l’identification et la vérification de la clientèle, ainsi que l’approche par les risques.
Amélioration de la qualité de la connaissance client
L’approche classiquement adoptée en France en la matière, dite « documentaire », est fondée, en grossissant le trait, sur une liste de documents à collecter ayant pour critère principal de distinction la qualité de personne physique ou de personne morale du client. Suivant cette approche, l’intégralité des clients de la banque doit ainsi remettre, à l’entrée en relation et lors des revues KYC, les documents présents sur la liste personnes physiques ou personnes morales.
Cette approche est limitée sur deux aspects. Tout d’abord, parce qu’elle est en contradiction avec le principe d’approche par les risques consistant à alléger ou renforcer l’intensité de ses diligences en fonction du niveau de risque de LCB-FT et résulte généralement en des demandes de documents inadaptées : si exiger un bilan prévisionnel d’un micro-entrepreneur n’est que rarement réaliste, se limiter à l’inverse à des diligences standard pour un trust établi aux Îles Vierges Britanniques peut être insuffisant.
Deuxièmement, parce que cette approche, qui incite à se reposer sur une liasse inexploitée de documents collectés, tend également à priver les organismes financiers d’informations essentielles à la connaissance précise et approfondie de leur clientèle, quand bien même le dossier client serait complet.
Prenant le contrepied de cette démarche, l’approche proposée par l’ACPR s’appuie sur les notions réglementaires[2] d’identification et de vérification de la clientèle (« ID&V » en anglais) et souligne l’importance de différencier l’information du document servant de support à celle-ci. Elle repose sur la distinction des éléments de connaissance devant seulement être identifiés « sur base déclarative » pour l’intégralité des clients, des éléments de connaissance devant être également vérifiés, selon une approche par les risques, par la « présentation de tout document écrit à caractère probant ».
Ainsi, là où l’approche « documentaire » détermine de manière statique des listes de documents dont la valeur ajoutée pour la connaissance client n’est pas toujours claire et dont la seule présence est contrôlée, l’approche dynamique ID&V commence par les informations essentielles à la connaissance du client pour ensuite, seulement, déterminer quels documents sont utiles à leur vérification. Elle permet ainsi une connaissance précise du profil et des activités des clients et augmente significativement la capacité de l’organisme financier à apprécier la cohérence de leurs opérations.
Amélioration de la relation commerciale
Le second apport majeur des lignes directrices de l’ACPR est de rappeler l’équilibre possible entre l’exigence réglementaire de disposer d’un programme KYC conforme d’une part et de l’autre, celle commerciale de maintenir de bonnes relations d’affaires avec les clients.
L’accroissement des mises à jour réglementaires, parallèlement à l’augmentation de la fréquence et du montant des sanctions, a en effet souvent incité les organismes financiers à adopter, dans le doute et pour se protéger, une lecture de la législation allant au-delà des dispositions du Code monétaire et financier. Au détriment de la satisfaction client et malgré l’absence de toute exigence en ce sens, de nombreux établissements financiers procèdent par exemple à la collecte systématique de nouvelles pièces d’identité en cours de validité à l’expiration et soumettent à des diligences renforcées (et contraignantes) des catégories de clientèles présentant des risques limités du point de vue de la réglementation. Cette approche maximaliste du KYC, se voulant rassurante, s’inscrit cependant en porte-à-faux avec l’approche par les risques prônée par l’ACPR puisqu’elle tend, en diluant les efforts des ressources allouées à la réalisation des diligences renforcées, à réduire la qualité des informations obtenues des clients réellement exposés aux risques LCB-FT. Elle porte également préjudice à l’intérêt commercial des organismes financiers en augmentant la durée des diligences pour l’ensemble des clients et augmente les frictions administratives lors de nouvelles collectes documentaires.
Combinée à l’ID&V, le renforcement de l’approche par les risques voulu par le régulateur bancaire permet de concentrer les diligences KYC sur les zones de risque les plus critiques / fortes / élevées, de dimensionner le dispositif en conséquence et d’alléger l’empreinte de la conformité sur la relation avec le plus grand nombre des clients : réduction des coûts de la conformité, régulateurs satisfaits et risques LCB-FT maitrisés.
Si les solutions technologiques sont un investissement essentiel dans l’amélioration des dispositifs de connaissance client (Robotic Process Automation ou « RPA » par exemple), celles-ci ne sauraient palier les déficiences dues à un dispositif mature et non performant : au contraire, elles pourraient les accentuer si elles revenaient à automatiser des processus inadaptés.