Mort de la directive AMLD, vive le règlement AMLD ?
LES FAITS
Le 10 septembre 2020, l’Autorité Bancaire Européenne (ABE) donne réponse à la Commission Européenne qui lui demandait conseil pour renforcer les mesures dites AML/CFT pour la lutte contre le blanchiment et le terrorisme.
En effet, outre l’expertise de l’ABE en la matière, cette dernière va avoir, dans le cadre de la réforme du fonctionnement du système européen de surveillance financière (adoptée fin de l’année 2019 par le conseil européen), un mandat renforcé pour conduire, coordonner et suivre les actions du secteur financier européen dans la lutte AML / CFT.L’ABE fait le constat de l'inefficacité d’AMLD, intrinsèquement inhérent au statut de directive du texte règlementaire qui fixe des objectifs pouvant ensuite être interprétés différemment dans chaque Etat membre.
La révélation dimanche 20 septembre du nouveau scandale des « FinCEN Files » (révélés par un consortium international de journalistes d’investigations), sur l’implication volontaire ou involontaire de certains grandes banques, ne fait que consolider ce constat amer.
C’est pourquoi L’ABE propose de légiférer un cadre légal européen qui s’appliquera façon homogène à tous les pays membres, tant sur les critères d’applicabilité AMLD aux établissements financiers, sur la gouvernance de la conformité et la supervision du risque AML/FT, que sur les exigences d’identification des clients et bénéficiaires (KYC ou Customer Due Diligence).
"The EBA recommends that the Commission establish a single rulebook to Harmonise the EU legal framework in a directly applicable Regulation where evidence suggests that divergence of national rules and practices has had a significant, adverse impact on the prevention of the use of the EU’s financial system for ML/TF purposes. This is the case for customer due diligence and wider AML/CFT systems and controls requirements, as well as for those rules governing key supervisory processes such as ML/TF risk assessments, cooperation and enforcement;"
NOTRE DECRYPTAGE SUR LE KYC
Les importantes divergences d’approches nationales en matière de KYC se concrétisent par des exigences spécifiques et contraignantes de certains pays membres, par exemple pour l’identification en face-à-face. Outre l’atteinte à la concurrence et à l’innovation, l’objectif des mesures AMLD et de protection du consommateur n’est pas atteint, dans un contexte de transactions bancaires et financières sans frontière et dans un monde de relations virtualisées imposées par la crise sanitaire.
"Some financial institutions have established themselves in Member States whose CDD requirements they perceived to be the most permissive, to make use of the freedom to provide services from that Member State to customers in other Member States. This appears to be of particular concern in the payments and e‐money sectors”
Pour le KYC, l’ABE propose donc aussi de légiférer des règles communes suffisamment flexibles et en conformité avec l’approche par les risques préconisée par le standard international du FAFT/GAFI (cf leur dernier guide de mars 2020 sur l’identité numérique) : une approche orientée aussi bien objectifs que processus, des mesures adaptées aux différents niveaux de risques, la définition d’attributs obligatoires communs pour l’identification univoque d’une personne morale ou physique, les critères requis de fiabilité des sources d’information…
Quant à la portabilité des données de KYC, avec la création d'entités, appelées « KYC utilities » (et telles que proposées dans le rapport de décembre 2019 remis par un groupe de travail d’experts européens missionnés par la Commission Européenne), l’EBA recommande au préalable une évaluation d’impact (bénéfices et coût).
La porte ouverte de la révision du règlement européen eIDAS vers une identité numérique pan-européenne accessible à tous pourrait accélérer la réponse de la portabilité du KYC pour identifier les clients et bénéficiaires, aussi bien personnes physiques que morales. En tout cas, la Commission Européenne a bien fait également sienne cette stratégie pour le cas d’usage de la finance numérique.
Pour finir, ne faisons pas l'impasse sur le fait que les données de KYC sont des données personnelles même si le cadre légitime de traitement peut être accordé sans consentement. A ce propos, l’ABE rappelle l'absence totale de guide européen pour aider l'écosystème bancaire, ce qui donne lieu à des interprétations différentes selon les pays et sollicite donc urgemment une coordination entre les autorités financières et les autorités en charge de la protection des données personnelles pour établir ce guide européen. Comme le futur guide RGPD pour le cadre de la DSP2, le CEPD (Comité Européen pour la Protection des Données Personnelles) pourrait prendre en charge l’édition de ce référentiel pour encadrer les pratiques du KYC. Ce guide devrait aussi encadrer l’usage de l’intelligence Artificielle de plus en plus utilisée dans la gestion de la fraude et du risque AMLD.
Pour en savoir plus : L'article de chercheurs de Télécom Paris « Are AI-Based Anti-Money Laundering Systems Compatible with Fundamental Rights? », qui met en exergue, sur la base de jurisprudence européenne, l’absence de proportionnalité sur la collecte massive de données pour alimenter des outils IA pour la fraude. Europol estime que 90 % des SAR (Suspicious Activity Report) transmis par les banques aux autorités ne sont pas traités. C’est pourquoi ces chercheurs soulèvent l’impérieuse nécessité d’outils métriques pour permettre aux banques d’adapter en toute proportionnalité les mesures AMLD.