KYC/KYB et le droit – Réglementations de l’UE et du monde

Introduction

Les obligations Know Your Customer (KYC) et Know Your Business (KYB) constituent la base des cadres réglementaires mondiaux de lutte contre le blanchiment d’argent (LBA/AML) et le financement du terrorisme (CFT).
Elles imposent aux institutions financières et non financières de vérifier l’identité des personnes physiques et de comprendre la structure de propriété et de contrôle des personnes morales, y compris l’identification des bénéficiaires effectifs (UBO).
L’objectif est d’éliminer l’anonymat dans l’accès aux services financiers ou numériques et d’assurer que les institutions comprennent qui sont leurs clients et dans quel but la relation d’affaires est établie.

L’organisme international de référence est le Groupe d’action financière (GAFI/FATF), dont la Recommandation n°10 définit les principes de diligence raisonnable (CDD) et d’identification des bénéficiaires effectifs¹.

1. Le cadre juridique de l’Union européenne

1.1 Les directives anti-blanchiment (AMLD4–6)

Les instruments législatifs clés de l’UE sont :

• Directive (UE) 2015/849 (AMLD4) – établit les obligations de KYC et CDD²,

• Directive (UE) 2018/843 (AMLD5) – élargit le champ d’application aux prestataires de services sur actifs virtuels³,

• Directive (UE) 2018/1673 (AMLD6) – harmonise la responsabilité pénale des personnes morales⁴.

L’article 13(1) d’AMLD4 impose aux entités assujetties :

1. d’identifier et de vérifier l’identité du client à partir de sources fiables et indépendantes,

2. d’identifier le bénéficiaire effectif,

3. d’obtenir des informations sur l’objet et la nature de la relation d’affaires,

4. de procéder à une surveillance continue des transactions².

L’article 30 exige que chaque État membre crée un registre des bénéficiaires effectifs².
Cependant, l’arrêt de la CJUE du 22 novembre 2022 (affaires jointes C-37/20 et C-601/20) a limité l’accès public à ces registres pour des raisons de protection des données⁵.

AMLD5 a élargi les obligations aux :

• plateformes d’échange de crypto-monnaies et fournisseurs de portefeuilles,

• restrictions sur les instruments prépayés anonymes,

• obligations renforcées pour les pays tiers à haut risque³.

AMLD6 a clarifié la définition du blanchiment d’argent et la responsabilité des personnes morales⁴.

1.2 Le nouveau paquet LBA de l’UE et l’Autorité AMLA

Le nouvel ensemble législatif européen, appelé paquet LBA/AML, vise à remplacer les directives par un règlement directement applicable.
Une nouvelle autorité, l’Autorité européenne de lutte contre le blanchiment d’argent (AMLA), basée à Francfort, supervisera directement certaines entités à haut risque⁶.

1.3 Le RGPD et la protection des données

Tous les traitements de données KYC/KYB doivent être conformes au Règlement général sur la protection des données (RGPD)⁷.
Selon l’article 6(1)(c), le traitement repose sur une obligation légale.
L’article 5 impose les principes de minimisation des données et de limitation de la conservation :
AMLD4 prévoit une durée de conservation d’au moins 5 ans, pouvant être prolongée à 10 ans pour les dossiers AML².

1.4 Crypto-actifs, Travel Rule et MiCA

L’UE a adapté la Travel Rule du GAFI aux transferts de crypto-actifs, dans le cadre du règlement (UE) 2023/1113 (TFR)⁸.
Les prestataires de services de paiement et de crypto doivent transmettre les informations du payeur et du bénéficiaire.
Le règlement MiCA (UE) 2023/1114 complète ce dispositif en instaurant un cadre de licence et de protection des consommateurs pour les services sur crypto-actifs⁹.

1.5 Secteurs concernés dans l’UE

Conformément à l’article 2(1) d’AMLD4, les entités suivantes sont soumises aux obligations KYC/KYB :

• institutions de crédit et financières,

• auditeurs, comptables, conseillers fiscaux,

• notaires et avocats,

• prestataires de services aux sociétés et fiducies,

• agents immobiliers,

• casinos,

• commerçants acceptant des paiements en espèces ≥ 10 000 €,

• depuis AMLD5 – fournisseurs de services sur actifs virtuels (VASP)²³.

Dans plusieurs États membres, les opérateurs télécoms (enregistrement des cartes SIM), plateformes numériques (directive DAC7) et commerçants de biens de luxe sont également inclus.

2. Identité numérique, eIDAS et normes ETSI

Le règlement eIDAS (UE) n° 910/2014 établit un cadre pour la reconnaissance mutuelle des identités électroniques et des services de confiance (signature électronique qualifiée, cachet électronique, etc.)¹⁰.
Un client utilisant un eID à un niveau de confiance élevé peut être vérifié à distance dans un autre État membre.

Le projet eIDAS 2.0 introduit le portefeuille européen d’identité numérique, qui permettra de transmettre des attributs d’identité vérifiés de manière sécurisée¹¹.

Normes techniques clés :

• ETSI EN 319 401 – exigences générales de sécurité pour les prestataires de services de confiance,

• ETSI TS 119 461 – exigences pour la vérification d’identité à distance et par vidéo¹².

Ces normes constituent la référence européenne pour l’onboarding à distance conforme à l’AML.

3. Juridictions hors UE

3.1 États-Unis

Cadre législatif :

• Bank Secrecy Act (BSA), 31 U.S.C. §5311 et suiv.¹³,

• USA PATRIOT Act (2001), Titre III¹⁴,

• Règle FinCEN Customer Identification Program (CIP), 31 CFR §1020.220¹⁵,

• Règle FinCEN CDD (Customer Due Diligence), 31 CFR §1010.230¹⁶.

Les banques doivent recueillir et vérifier le nom, la date de naissance, l’adresse et le numéro fiscal avant toute ouverture de compte.
Les personnes morales doivent déclarer leurs bénéficiaires effectifs (≥ 25 % de participation).
Le Corporate Transparency Act (CTA) crée un registre fédéral des bénéficiaires effectifs¹⁷.

3.2 Royaume-Uni

• Proceeds of Crime Act 2002,

• Money Laundering Regulations 2017 (MLR), modifiées en 2019-2020¹⁸.
  Le FCA publie des orientations sur l’utilisation de la vidéo-identification et des biométries.
  Le Registre des entités étrangères (Economic Crime Act 2022) renforce la transparence des propriétaires de biens.

3.3 Suisse

• Loi fédérale sur le blanchiment d’argent (AMLA)¹⁹,

• Ordonnance FINMA sur la LBA (OBA-FINMA).
  Les institutions doivent identifier le client et le bénéficiaire effectif, conserver les données 10 ans, et signaler les transactions suspectes au MROS.
  La Suisse applique la Travel Rule du GAFI aux actifs virtuels¹.

3.4 Canada

• Loi sur le produit de la criminalité et le financement des activités terroristes (PCMLTFA)²⁰,

• surveillance : FINTRAC.
  Le KYC s’applique aux banques, MSB, casinos et plateformes crypto.
  L’identification à distance est autorisée (ex. Verified.Me).
  La LPRPDE (PIPEDA) régit la protection des données²¹.

3.5 Australie

• Anti-Money Laundering and Counter-Terrorism Financing Act 2006²²,

• autorité : AUSTRAC.
  Déclaration obligatoire des transactions ≥ 10 000 AUD.
  Amende record : Westpac, 2020 – 1,3 milliard AUD pour manquements AML/KYC.

3.6 Singapour

• MAS Notice 626²³.
  Obligation d’identification de tous les clients et bénéficiaires effectifs.
  SingPass est utilisé comme identité numérique officielle.
  Les transactions suspectes doivent être signalées au STRO.

4. Analyse comparative

5. Technologie et onboarding à distance

Les autorités de supervision acceptent de plus en plus les procédures KYC à distance, sous réserve que :

1. le niveau d’assurance soit équivalent à une vérification en personne,

2. le traitement soit sécurisé et conforme au RGPD,

3. le processus soit traçable et auditable.

Les solutions conformes à ETSI TS 119 461 sont reconnues comme conformes à la législation européenne.
Les solutions API-KYC et biométriques deviennent le standard mondial.

6. Secteurs non financiers

Les obligations KYC/KYB s’étendent à :

• prestataires de services sur actifs virtuels (VASPs),

• assurances (vie, investissement),

• jeux d’argent et de hasard,

• immobilier,

• avocats, comptables, notaires,

• commerçants de biens de luxe,

• télécommunications et plateformes numériques (ex. DAC7).

Le GAFI considère que le risque de blanchiment ne se limite pas au secteur bancaire¹.

7. Coûts et efficacité

Selon les études (Fenergo, Thomson Reuters) :

• les grandes institutions dépensent 15 à 30 millions USD/an pour le KYC,

• l’onboarding d’un client entreprise dure en moyenne 2 à 5 mois,

• environ 2 à 5 % du PIB mondial proviennent encore d’activités de blanchiment²⁴²⁵.

Les cadres réglementaires sont solides, mais la normalisation des données et la coopération entre institutions et FIU doivent être améliorées.

8. Conclusion

• Les cadres KYC/KYB de l’UE, des États-Unis, du Royaume-Uni, de la Suisse, du Canada, de l’Australie et de Singapour sont aujourd’hui largement alignés sur les normes du GAFI.

• L’UE se distingue par :

  1. un champ d’application sectoriel large,

  2. l’intégration de l’identité numérique (eIDAS),

  3. une protection forte des données (RGPD),

  4. la création d’une autorité centralisée (AMLA).

• Les juridictions non européennes se distinguent par une application stricte (États-Unis, Australie, Singapour) et par une identité numérique avancée (Singapour).

• Tendance mondiale : fin de l’anonymat, plus de transparence, automatisation accrue et IA.

Le défi pour les régulateurs reste d’assurer un contrôle efficace sans créer une charge disproportionnée pour les entreprises et les clients.

Commandez une consultation KYC/KYB gratuite en ligne

Références / Notes

Czy chcesz, abym teraz przygotował hiszpańską wersję tego samego artykułu z zachowaniem przypisów?

Footnotes

1. GAFI, Normes internationales de lutte contre le blanchiment de capitaux et le financement du terrorisme, Recommandations 10, 11, 24 (2023). ↩ ↩² ↩³

2. Directive (UE) 2015/849 (AMLD4), JO L 141/73, 5.6.2015. ↩ ↩² ↩³ ↩⁴ ↩⁵

3. Directive (UE) 2018/843 (AMLD5), JO L 156/43, 19.6.2018. ↩ ↩² ↩³

4. Directive (UE) 2018/1673 (AMLD6), JO L 284/22, 12.11.2018. ↩ ↩²

5. CJUE, affaires jointes C-37/20 et C-601/20, arrêt du 22 novembre 2022. ↩

6. Proposition de règlement établissant l’Autorité européenne de lutte contre le blanchiment d’argent (AMLA), COM(2021) 421 final. ↩

7. Règlement (UE) 2016/679 (RGPD), JO L 119/1, 4.5.2016. ↩

8. Règlement (UE) 2023/1113, relatif aux informations accompagnant les transferts de fonds et de crypto-actifs (TFR). ↩

9. Règlement (UE) 2023/1114, Markets in Crypto-Assets (MiCA). ↩

10. Règlement (UE) n° 910/2014 (eIDAS). ↩

11. Proposition de règlement modifiant eIDAS (eIDAS 2.0), COM(2021) 281 final. ↩

12. ETSI TS 119 461:2021; ETSI EN 319 401:2019. ↩

13. Bank Secrecy Act (31 U.S.C. §5311 et suiv.). ↩

14. USA PATRIOT Act, Pub. L. No. 107–56 (2001). ↩

15. FinCEN Rule, 31 CFR §1020.220 – Customer Identification Program. ↩

16. FinCEN Rule, 31 CFR §1010.230 – Customer Due Diligence Requirements. ↩

17. Corporate Transparency Act, 31 U.S.C. §5336 (2021). ↩

18. Money Laundering, Terrorist Financing and Transfer of Funds Regulations 2017 (Royaume-Uni). ↩

19. Loi fédérale sur la lutte contre le blanchiment d’argent et le financement du terrorisme (AMLA), RS 955.0. ↩

20. Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA), Canada, 2000. ↩

21. Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA), Canada. ↩

22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Australie. ↩

23. Monetary Authority of Singapore (MAS) Notice 626, 2020. ↩

24. ONUDC, Estimations du blanchiment d’argent, 2023. ↩

25. Fenergo, Global KYC/Onboarding Report 2022. ↩

Commandez une consultation KYC/KYB gratuite en ligne