L'UE est confrontée à un problème qui la préoccupe depuis des années : la législation sur le blanchiment d'argent est certes harmonisée dans les États membres, mais uniquement sur le papier. Dans la pratique, les législateurs nationaux ont transposé, interprété et appliqué les directives européennes de manière différente. Il en résulte un patchwork bien connu des institutions actives au niveau transfrontalier, qui favorise structurellement l'arbitrage réglementaire.
Cela changera radicalement à partir de 2027. Le 31 mai 2024, le Parlement européen a adopté le paquet de réformes AML le plus ambitieux depuis l'introduction de la première directive sur le blanchiment d'argent en 1991. La différence fondamentale par rapport à auparavant : le nouveau règlement contre le balnchiment d'argent (AMLR) est un règlement, et non une directive. Il s'appliquera directement dans tous les États membres à partir du 10 juillet 2027, sans transposition nationale, sans marge d'interprétation, sans le "patchwork" habituel de mise en œuvre. Ceux qui opèrent aujourd'hui dans plusieurs pays de l'UE et jonglent avec différentes exigences nationales bénéficieront d'un ensemble de règles uniformes à partir de 2027. Cela simplifie beaucoup de choses, mais relève en même temps la barre, car la norme la plus stricte s'applique désormais partout.
Le paquet comprend trois actes juridiques aux fonctions clairement distinctes.
L'AMLR (règlement UE 2024/1624) en est le cœur opérationnel : il définit qui est soumis à quelles obligations en matière de KYC et de CDD, comment traiter les UBO et quoi faire en cas de suspicion. Il sera directement applicable à partir de juillet 2027, mais seulement à partir de juillet 2029 pour les clubs et agents de football.
L'AMLD6 (directive UE 2024/1640) régit ce que les États membres doivent mettre en place au niveau national : architecture de surveillance, registre des UBO, pouvoirs des CRF et cadre de sanctions. Délai de mise en œuvre jusqu'en juillet 2027, certains articles plus tôt.
L'AMLAR (règlement UE 2024/1620) crée la nouvelle autorité européenne de surveillance AMLA, dont le siège est à Francfort. Elle sera opérationnelle à partir du 1er juillet 2025. À partir de janvier 2028, l'AMLA assumera la surveillance directe d'un maximum de quarante établissements financiers sélectionnés et coordonnera toutes les autorités nationales de surveillance AML.
|
Calendrier : juillet 2025 : entrée en vigueur de la LBA. | Juillet 2026 : premières RTS sur la CDD et la surveillance des groupes. | Juillet 2027 : entrée en vigueur de la AMLR, mise en œuvre du AMLD6. | Janvier 2028 : début de la surveillance directe de la AMLA. | Juillet 2029 : CASPs, football, mise en réseau BORIS. |
Le champ d'application de l'AMLR est nettement étendu. Outre les acteurs financiers connus, plusieurs secteurs sont désormais couverts ou font l'objet d'une couverture élargie.
Crypto-Asset Service Providers (CASPs) : obligations CDD complètes, règle du voyage à partir de 1 000 euros, à partir de juillet 2027.
Courtiers en hypothèques et en crédits à la consommation : s'ils ne sont pas déjà couverts en tant qu'établissements financiers, ils seront désormais soumis à la réglementation à partir de juillet 2027.
Négociants en biens de grande valeur : métaux précieux, pierres précieuses, véhicules de luxe, œuvres d'art, yachts — CDD basée sur un seuil à partir de juillet 2027.
Gestionnaires et courtiers immobiliers : champ d'application élargi, y compris pour la location.
Comptables, conseillers fiscaux, experts-comptables, notaires, avocats : pour les activités de structuration, conformément aux normes du GAFI.
Clubs et agents de football professionnels : à partir de juillet 2029 seulement ; pour les transactions importantes, KYC analogue au secteur financier.
Seuil UBO : « 25 % ou plus » au lieu de « plus de 25 % »
Cela semble être un détail technique, mais cela a des conséquences pratiques : jusqu'à présent, l'obligation d'identification UBO ne s'appliquait qu'à partir d'une participation supérieure à 25 %. L'art. 52, al. 1, AMLR modifie cette disposition et la porte à 25 % ou plus. Ainsi, toute personne détenant exactement 25 % doit désormais être identifiée, vérifiée et documentée en tant qu'UBO. Pour certaines catégories de sociétés à haut risque, la Commission peut, par voie de règlement délégué, abaisser le seuil à 15 %.
Concrètement, cela signifie que les dossiers clients existants doivent être systématiquement vérifiés. Dans les structures de participation où personne n'était jusqu'à présent déclaré comme UBO avec exactement 25 %, il peut y avoir un besoin de rattrapage.
Perpetual KYC : vérification continue au lieu de contrôles périodiques aléatoires
L'art. 26 AMLR introduit des intervalles maximaux obligatoires pour la mise à jour des dossiers clients. Les clients à haut risque doivent être vérifiés au moins une fois par an, les clients à risque normal au plus tard tous les cinq ans. À cela s'ajoutent des vérifications déclenchées par des événements — appelées « trigger-based pKYC » — en cas de changement d'UBO, d'anomalies dans les transactions ou de modifications des classes de risque, indépendamment du cycle régulier. Les détails seront précisés par l'AMLA-RTS d'ici juillet 2026.
Onboarding numérique et eIDAS
L'AMLR reconnaît expressément l'identification électronique conforme à l'eIDAS comme équivalente à la vérification physique. À partir de juillet 2027, les entités assujetties devront accepter le portefeuille d'identité numérique de l'UE (EUDI Wallet) comme méthode d'onboarding. Pour les clients à faible risque, cela permettra un onboarding entièrement numérique et sans papier.
Nouvelles mesures clé:
Élargissement du champ d'application aux entités assujetties : l'AMLR élargit la définition des entités assujetties pour y inclure les plateformes de financement participatif, les prestataires de services liés aux crypto-actifs (également appelés « CASP ») et d'autres secteurs à haut risque. Le champ d'application inclut désormais, pour la première fois, les IBAN virtuels.
Vérification renforcée (EDD) : pour certaines transactions, des obligations de vérification renforcée ont été ajoutées. Dans le cadre des relations de correspondance transfrontalières, les CASP seront tenus de remplir ces obligations de diligence renforcée. Deuxièmement, pour les relations commerciales avec des personnes fortunées dont le patrimoine total dépasse 50 000 000 EUR et qui gèrent des actifs sous contrôle supérieurs à 5 000 000 EUR, les établissements de crédit et les institutions financières seront tenus de mettre en œuvre des mesures de diligence renforcée. De plus, sur la base d'une évaluation tenant compte des listes établies par le Groupe d'action financière (GAFI), toutes les entreprises concernées seront tenues de mettre en œuvre des mesures de diligence raisonnable renforcée pour les transactions ponctuelles et les partenariats commerciaux avec des pays tiers à haut risque.
Limites et restrictions applicables aux paiements en espèces : les paiements en espèces sont soumis à une limite maximale de 10 000 euros au sein de l'UE. En fonction des risques nationaux spécifiques, les États membres seront libres de fixer un seuil maximal inférieur.
Nouveaux seuils des mesures de vigilance à l'égard de la clientèle (art. 19)
|
Opération/Secteur |
Seuil |
|
Seuil général (tout secteur) (art.19 (1)(b)) |
EUR 10'000 |
|
Crypto-actifs (CASP) |
EUR 1'000 |
|
Seuil renforcé pour les paiements en espèces |
EUR 3'000 |
|
Plafond sur les paiements en espèces (art. 80) |
EUR 10'000 |
Vérification des sanctions en tant qu'obligation distincte
Une nouvelle obligation expresse consiste à vérifier, lors de chaque CDD, si le client ou son bénéficiaire effectif fait l'objet de sanctions financières ciblées (Targeted Financial Sanctions, TFS). Ce qui relevait jusqu'à présent des « bonnes pratiques » deviendra, à partir de juillet 2027, une exigence AMLR distincte soumise à obligation de documentation.
Obligation de déclaration dans les 14 jours en cas de divergences avec le registre
Si, dans le cadre de sa CDD, une « entité assujettie » constate un écart entre ses propres données clients et le registre national des UBO, elle doit signaler cet écart au registre dans un délai de 14 jours calendaires, en joignant sa propre évaluation de l'identité de l'ayant droit économique. Cela nécessite un processus interne défini de détection et d'escalade.
L'AMLR et l'AMLD6 élargissent considérablement le régime des registres des bénéficiaires effectifs. Les informations obligatoires sont étendues aux numéros de pièce d'identité, aux numéros d'identification personnels, au pays de résidence et à toutes les nationalités. En cas de contrôle indirect, la chaîne de contrôle complète doit être indiquée, avec le numéro d'identification unique (UID), la forme juridique et le pays d'établissement de chaque société intermédiaire.
Les entités juridiques non européennes ayant un lien avec l'UE — par exemple une société d'un pays tiers qui possède des biens immobiliers dans l'UE ou entretient des relations d'affaires avec des entités assujetties — sont également soumises aux obligations d'enregistrement. D'ici juillet 2029, tous les registres nationaux seront interconnectés à l'échelle de l'UE via la plateforme BORIS (Beneficial Ownership Registers Interconnection System).
En ce qui concerne l'accès : outre les autorités et les entités assujetties, les personnes justifiant d'un intérêt légitime avéré pourront également consulter les registres, notamment les journalistes, les ONG et les chercheurs. Il s'agit là de la réponse législative à l'arrêt de la CJUE de novembre 2022, qui avait jugé disproportionné l'accès public intégral aux registres.
L'AMLA est opérationnelle à Francfort depuis juillet 2025 et comptera environ 430 collaborateurs d'ici fin 2027. À partir de janvier 2028, elle assumera la surveillance directe d'un maximum de 40 entités financières à haut risque — selectionnées selon des critères de risque tels que l'étendue de leurs activités dans au moins six États membres et des seuils de matérialité provisoires de plus de 20 000 clients ou d'un volume de transactions de 50 millions d'euros par État membre. La liste sera mise à jour tous les trois ans.
L'AMLA dispose de pouvoirs étendus à l'égard des établissements sous surveillance directe : demandes d'informations, enquêtes, inspections sur place avec ou sans préavis. En cas d'infractions systémiques commises par une entité non soumise à une surveillance directe, la Commission peut, à la demande de l'AMLA, ordonner une surveillance directe temporaire si l'autorité nationale compétente ne réagit pas de manière suffisante.
Important pour toutes les entités assujetties : l'AMLA publiera d'ici 2026/2027 une série de normes techniques contraignantes (RTS/ITS) relatives à la CDD, à l'externalisation, à l'évaluation des risques et aux déclarations de soupçons. Celles-ci définiront le cadre de conformité effectif à partir de 2027. Quiconque ne suit pas activement l'évolution de ces normes risque de découvrir des lacunes peu avant leur entrée en vigueur.
La 6e directive anti-blanchiment (AMLD6) porte le plafond des sanctions pour les infractions graves, répétées ou systématiques à 10 millions d’euros ou 10 % du chiffre d’affaires annuel — soit le double du plafond prévu par la 4e directive anti-blanchiment (AMLD4) (5 millions d’euros / 5 %). Une autre nouveauté concerne les astreintes, qui sont dues tant que l’injonction administrative n’est pas respectée. L'Autorité de contrôle en matière de lutte contre le blanchiment d'argent (AMLA) peut infliger de manière autonome des sanctions aux entités directement soumises à sa surveillance ; celles-ci sont susceptibles de recours devant la Cour de justice de l'Union européenne (CJUE).
Par ailleurs, des mesures administratives restent possibles : interdiction temporaire d'exercer pour les personnes responsables, retrait de l'agrément, publication des infractions. L'AMLA publiera d'ici juillet 2026 des lignes directrices sur la pratique en matière de sanctions.
L'AMLR entrera en vigueur en juillet 2027 — cela semble lointain, mais ce n'est pas le cas. L'adaptation des processus KYC, des systèmes informatiques et des directives internes prend du temps, et l'AMLA publiera d'ici là de nombreuses normes techniques qui définiront le cadre précis de la conformité. Ceux qui attendent que toutes les RTS soient disponibles disposeront d'un délai de préparation insuffisant.
Immédiatement : déterminer si l'on relève désormais du champ d'application (CASP, intermédiaires de crédit, négociants en biens de luxe, etc.). Vérifier les dossiers clients existants par rapport au nouveau seuil de 25 %. Déterminer si les activités menées dans six États membres ou plus pourraient déclencher une surveillance directe au titre de la LBA.
D'ici fin 2026 : réaliser une analyse des écarts entre le programme KYC/AML existant et l'AMLR. Planifier les processus pour le pKYC basé sur des déclencheurs (Perpetual KYC). Adapter les seuils de CDD et les contrôles des paiements en espèces. Concevoir un processus interne de signalement sous 14 jours pour les écarts par rapport au registre. Intégrer le filtrage TFS comme étape de contrôle autonome.
D'ici juillet 2027 : mettre en place des systèmes d'onboarding numérique et assurer la compatibilité avec le portefeuille EUDI. Former les collaborateurs. Mettre en œuvre les RTS de la LBA dès leur publication.
Contactez-nous à l'adresse support@kyc.ch pour obtenir une solution RegTech sur mesure.
Cet article est fourni à titre d'information générale uniquement et ne constitue en aucun cas un conseil juridique ou en matière de conformité.