Paul Benelli du
Cabinet Haas
Les procédures KYC (« Know Your Client ») s’inscrivent notamment dans le panel des obligations relatives à la prévention du blanchiment et du financement du terrorisme (LCB-FT). Comme le rappelle Paul Benelli, « elles doivent être mises en place en particulier par tous les établissements de crédit et/ou de paiement, les institutions financières, les entreprises d’assurances et mutuelles, et plus largement par toutes les personnes mentionnées à l’article 561-2 du Code monétaire et financier. Ces procédures sont strictement encadrées par la législation européenne et nationale et doivent respecter un certain nombre d’exigences. » La réglementation, avant tout européenne, repose sur plusieurs textes émis par le législateur ces 15 dernières années : il s’agit principalement de directives anti-blanchiment, qui ont renforcé notamment l’approche par les risques ou encore la prévention de l’utilisation du système financier de l’UE aux fins de blanchiment de capitaux et du financement du terrorisme.
La 5ème directive européenne, finalement transposée en France début 2020
« La plupart de ses dispositions ont désormais été intégrées au Code Monétaire et Financier », indique Paul Benelli, qui cite également l’arrêté du 3 novembre 2014, fixant l’obligation d’avoir un système de contrôle des opérations et des procédures internes, et le décret du 18 avril 2018, apportant des précisions concernant l’identification et la vérification d’identité de la clientèle, les personnes politiquement exposées, et les obligations de vigilance. « Le cadre de la procédure KYC est principalement constitué par la quatrième directive du 20 mai 2015, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme, précise l’avocat. La cinquième directive anti-blanchiment, publiée le 30 mai 2018, laissait aux États membres jusqu’au 10 janvier 2020 pour la mettre en vigueur. La France était en retard : la transposition prévue par la loi Pacte nécessitait la publication d’une ordonnance qui vient seulement d’être publiée, le 12 février dernier. Un projet de loi de ratification devra être déposé devant le Parlement dans un délai de six mois à compter de la publication de la présente ordonnance. »
Deux objectifs principaux pour les procédures KYC
Cet arsenal réglementaire vise à aller au-delà de la seule identification du client pour tendre vers une connaissance de celui-ci. L’article R. 561-12 du Code Monétaire et Financier impose aux établissements assujettis de « recueillir et analyser les éléments d’information nécessaires à la connaissance de l’objet et de la nature de la relation d’affaires ». Les procédures KYC doivent répondre à ces deux objectifs en disposant de dossiers clients complets et bien documentés : l’identification précise du client, qu’il soit personne morale ou physique et le cas échéant, du bénéficiaire effectif ; la nature du client (professionnel ou non), ses connaissances et son expérience en matière d’investissement; les objectifs et modes d’investissement du client permettant d’établir un profil de risque ; et, dans certains cas, l’origine et la destination des fonds concernés par les opérations. Ces éléments peuvent notamment être recueillis sous forme de questionnaire à remplir, complété par des pièces justificatives. « De la connaissance du client découle la classification des risques, véritable pilier de la réglementation LCB-FT », insiste Paul Benelli.
Procédure de mise en conformité : l’essentiel à connaître
Comme le prévoit l’article R.561-12, modifié par décret (n°2020-118 du 12 février 2020), pendant toute la durée de la relation d’affaires, l’établissement doit s’assurer de recueillir, mettre à jour et analyser « les éléments d’information qui permettent de conserver une connaissance appropriée et actualisée de leur relation d’affaires ». Cette obligation de vigilance constante, tout au long de la relation d’affaires, est particulièrement cruciale en phase de remédiation. « Il s’agit alors de s’assurer de la mise à jour des données collectées pour une mise en conformité réglementaire en cas d’audit ou de contrôle », indique Paul Benelli, qui précise les trois piliers de la démarche : le respect de l’ensemble des normes et obligations LCB-FT applicables en continu, le respect de la Réglementation propre aux traitements de données (RGPD), et le respect de l’obligation de sécurité informatique renforcée.
Ainsi, dans le cadre d’une procédure de mise en conformité, l’établissement doit mettre continuellement à jour son registre des activités de traitement dans lequel il renseignera précisément les modalités de traitement des données liées au KYC. En cas de contrôle de la CNIL, c’est ce registre qui devra être prioritairement fourni pour prouver la conformité de l’entreprise en matière de gestion des données personnelles. Comme le précise Paul Benelli, « le respect de ces dispositions est fondamental pour de nombreux clients de plus en plus soucieux de protéger leurs données. Il peut être facilité par des solutions logicielles dédiées et intégrées aux outils relevant de la procédure KYC. Bien gérées, ces obligations liées à la connaissance approfondie du client et au respect de sa vie privée, peuvent être l’occasion de bâtir une relation saine et confiante et d’en faire de véritables atouts concurrentiels, à condition bien sûr de respecter la finalité pour laquelle la donnée a été initialement collectée. »