Politiques, procédures, processus et mesures de contrôle interne : commentaires et recommandations
Les institutions financières doivent mettre en place une organisation en matière de LBC/FTP efficace et proportionnée à leur nature et à leur taille. Satisfaire à cette obligation est une condition indispensable au respect des obligations matérielles en matière de LBC/FTP telles que l’obligation de vigilance à l’égard des opérations et relations d’affaires, d’analyse des faits et opérations atypiques et de déclaration des soupçons de BC/FT, ainsi que les obligations en matière de transferts de fonds, d’embargos et de gel des avoirs, etc. En termes de finalités, la Loi anti-blanchiment renforce à cet égard la cohérence entre les dispositions matérielles en matière de LBC/FTP et l’organisation de LBC/FTP (il est renvoyé à l’exposé des motifs de la Loi anti-blanchiment pour plus d’informations à ce sujet) (voir la page « Principaux documents de référence »).
Cette organisation doit, tout à la fois, inclure les mesures adéquates pour permettre de procéder à l’évaluation globale des risques de BC/FT, mais aussi être basée sur les résultats de cette évaluation afin de répondre adéquatement aux risques recensés (cf. point 1 ci-dessous). Elle doit comprendre un ensemble de politiques, de procédures et de processus internes à l’institution financière (cf. point 2), ainsi qu’un système de contrôle interne (cf. point 3).
Le principe de proportionnalité peut néanmoins conduire la BNB à accepter une structure organisationnelle simplifiée (cf. point 4). Par ailleurs, il est également attendu que l’organisation relative à la LBC/FTP s’intègre de manière harmonieuse dans l’organisation globale de l’institution financière (cf. point 5).
1. Relations entre l’évaluation globale des risques et l’organisation
La mise en place d’une organisation adéquate en matière de LBC/FTP, incluant l’ensemble des éléments détaillés ci-dessous, d’une part, et l’évaluation globale des risques, d’autre part, sont en interrelation étroite.
D’une part, l’exécution d’une évaluation globale des risques appropriée au sein d’une institution financière requiert que les objectifs de cette évaluation soient préalablement définis clairement (aspect de politique interne), qu’elle soit effectuée dans un cadre procédural suffisamment précis et qu’elle fasse l’objet de contrôles internes adéquats pour garantir la pertinence et l’objectivité des résultats qu’elle délivre en termes de recensement des risques de BC/FT et de mesure de leur intensité.
D’autre part, la BNB attend des institutions financières que leur organisation, leurs politiques, leurs procédures et leur système de contrôle interne en matière de LBC/FTP, tels que détaillés ci-dessous, soient fondés sur les résultats de leur évaluation globale des risques de BC/FT, auxquels l’ensemble de ce dispositif doit permettre d’apporter une réponse adéquate et proportionnée. En outre, dès lors que ces risques sont susceptibles d’évoluer dans le temps ou que des événements significatifs sont susceptibles d’en influencer la nature ou l’ampleur, un processus approprié d’évaluation globale des risques doit inclure des actualisations périodiques. Dès lors qu’une telle actualisation révèle des modifications significatives des risques antérieurement recensés quant à leur nature et/ou à leur intensité, il s’impose à l’institution financière d’examiner si l’organisation, les politiques, les procédures, les processus et le système de contrôle interne dont elle s’est dotée doivent être modifiés pour les adapter aux changements constatés.
En conséquence de ce qui précède, la BNB estime que les institutions financières devraient considérer la mise en place d’un cadre organisationnel et procédural adéquat et contrôlé d’évaluation globale des risques comme constituant une priorité de tout premier ordre, dans la mesure où cette évaluation globale des risques forme la base indispensable sur laquelle doivent se fonder l’ensemble des autres mesures mises en œuvre conformément aux exigences légales et réglementaires en matière de LBC/FTP.
Pour plus d’informations concernant le contenu, la méthodologie d’élaboration et la mise à jour de l’évaluation globale des risques, il est renvoyé à la page « Evaluation globale des risques ».
2. Organisation en matière de LBC/FTP
L’organisation de LBC/FTP suppose que les institutions financières définissent et mettent en application des (i) politiques, (ii) procéfures internes et (iii) processus de mise en œuvre.
2.1. Politique en matière de LBC/FTP
L’article 8 de la Loi anti-blanchiment impose aux institutions financières d’élaborer et de mettre en application, en premier lieu, des politiques efficaces et proportionnées en matière de LBC/FTP. Ces politiques énoncent les principes fondamentaux qui doivent être respectés dans le cadre des activités de l’institution financière et concrétisés de manière détaillée dans les procédures internes en vue de leur mise en application effective.
La BNB s’attend ainsi à ce que, par l’adoption de sa politique en matière de LBC/FTP conformément à l’article 8 de la Loi anti-blanchiment, chaque institution financière énonce clairement les objectifs qu’elle se fixe en matière de LBC/FTP, ainsi que les orientations qui doivent être respectées dans l’établissement des procédures et processus internes (cf. infra) en vue d’atteindre ces objectifs. La politique en matière de LBC/FTP devrait notamment couvrir deux aspects, détaillés ci-dessous :
- La gestion des risques de BC/FT; et
- L’acceptation des clients.
La BNB attend des institutions financières que cette politique soit :
- formalisée dans un document écrit ;
- validée par leur conseil d’administration ;
- conforme à la réglementation en vigueur et à ses évolutions ;
- proportionnée et adaptée à la nature et à la taille de leurs activités;
- diffusée à l’ensemble du personnel concerné (par exemple via une publication sur l’intranet) ; et
- actualisée régulièrement (notamment à la suite d’une modification de l’évaluation globale des risques).
Cette politique doit également faire partie (intégralement ou en synthèse) de la politique d’intégrité que le conseil d’administration de l’institution financière doit valider conformément aux lois sectorielles de contrôle prudentiel, et avec laquelle elle doit former un tout cohérent. La BNB demande néanmoins que, dans l’hypothèse où la politique en matière de LBC/FTP est totalement intégrée dans la politique d’intégrité de l’institution, elle soit néanmoins facilement identifiable au sein de celle-ci.
2.1.1. Gestion des risques de BC/FT
La BNB attend des institutions financières que leur politique en matière de LBC/FTP contienne une section dédiée à la gestion des risques de BC/FT et que celle-ci couvre trois domaines :
- les principes essentiels de l’approche fondée sur les risques de BC/FT retenue ;
- le niveau de tolérance maximale aux risques de BC/FT ; et
- les orientations à suivre dans la définition des procédures et mesures de gestion des risques de BC/FT et des mesures de contrôle internes.
Le premier volet de la politique établit les bases de l’approche fondée sur les risques appliquée par l’institution financière conformément à l’article 7 de la Loi anti-blanchiment. S’imposant à l’ensemble des dirigeants, membres du personnel, agents et mandataires de l’institution financière, ce premier volet de la politique de gestion des risques de BC/FT vise à sensibiliser l’ensemble de ces personnes à la nécessité de reconnaître l’existence de ces risques auxquels l’institution financière est exposée, de les mesurer de manière objective et impartiale, et de les soumettre à des mesures de gestion et de réduction proportionnées et adaptées à leur ampleur et à leur nature. A cette fin, ce premier volet de la politique de gestion des risques de BC/FT décrit en termes généraux, en vue de l’établissement d’une procédure adéquate d’évaluation globale des risques (cf. infra), les variables des risques à prendre en considération ainsi que les principes de base qui doivent être respectés en matière de recensement et d’analyse des facteurs de risques.
Le deuxième volet précise, pour chaque segment d’activités soumis à des risques de BC/FT, des limites de tolérance maximales à ces risques. Cette stratégie en matière de risques de BC/FT doit s’intégrer de façon cohérente et harmonieuse (i) au sein de la politique générale d’appétence aux risques que le conseil d’administration doit valider en application des lois de contrôle prudentielles sectorielles, ainsi que (ii) le cas échéant, au sein de la ou des politiques spécifiques concernant le risque opérationnel et le risque de réputation. Il convient en outre de tenir compte de l’objectif essentiel de la Loi anti-blanchiment, qui consiste à réduire dans toute la mesure du possible les risques de BC/FT au sein des institutions financières individuelles et à requérir d’elles une réaction appropriée lorsque ces risques se matérialisent, afin d’empêcher qu’ils se propagent au secteur financier et dans la société en général.
Le troisième volet de la politique décrit, en termes généraux, (i) la manière dont l’institution entend gérer chacun des risques de BC/FT qui aura été recensé dans l’évaluation globale des risques, (ii) le lien entre les mesures de gestion des risques de BC/FT mises en place au sein de l’institution financière et la politique de tolérance maximale aux risques de BC/FT et (iii) les principes qui doivent régir la définition des mesures de contrôle interne à mettre en place pour s’assurer de l’efficacité des mesures de gestion des risques de BC/FT. Ce troisième volet devrait notamment comprendre le « cadre de référence » devant servir de fondement à l’établissement des procédures internes fondées sur les risques à appliquer en matière d’identification et de vérification de l’identité des personnes impliquées dans des relations d’affaires ou des opérations occasionnelles. Il est notamment renvoyé à cet égard à la page « Objet de l’identification et de la vérification de l’identité ».
Cette section de la politique en matière de LBC/FTP consacrée à la gestion des risques de BC/FT doit s’intégrer de manière harmonieuse avec les politiques qui existent en matière de « risk management » au sein des institutions financières.
2.1.2. Acceptation des clients
La politique d'acceptation des clients constitue un prolongement de la politique de gestion des risques de BC/FT avec laquelle elle forme un ensemble cohérent. Elle vise essentiellement à déterminer, au plan des principes, les conditions relatives à la limitation des risques de BC/FT auxquelles l’institution financière s’astreint pour accepter d’entrer en relations d’affaires avec ses clients ou d’intervenir dans l’exécution d’opérations occasionnelles pour ses clients. Cette politique d’acceptation des clients doit permettre de tenir adéquatement compte de l’évaluation globale des risques et de la variété, du point de vue notamment de la nature et de l’intensité, des risques recensés, telle que cette variété doit se refléter dans la classification des risques. Elle doit permettre de la sorte de définir des procédures et modalités appropriées d’entrée en relation ou d’exécution d’opérations avec ou pour ces clients. Il importe de souligner que la politique d’acceptation des clients vise essentiellement à encadrer le processus décisionnel quant à l’entrée en relation d’affaires ou à l’exécution de l’opération occasionnelle, et quant à la nature et à l’intensité des mesures de vigilance à mettre en œuvre. Néanmoins, ces décisions ne peuvent résulter de manière automatique de la politique d’acceptation des clients, mais nécessitent une évaluation individuelle des risques effectuée conformément à l’article 19 de la Loi anti-blanchiment et permettant de tenir adéquatement compte des spécificités éventuelles de chaque cas considéré.
Concrètement, l’institution financière doit définir dans sa politique d’acceptation des clients, en fonction des caractéristiques des produits et services qu’elle offre et de la clientèle à laquelle elle s’adresse :
- les critères généraux conduisant à répartir les nouveaux clients dans différentes catégories de risques ;
- les principes d’attribution différenciée du pouvoir de décider de nouer la relation d’affaires ou d’effectuer l’opération souhaitée par le client à des personnes d’un niveau hiérarchique adéquat au regard de chaque catégories de risques. A cet égard, une attention particulière doit être accordée (i) aux clients identifiés comme présentant des risques élevés en application de l’article 19, § 2, de la Loi anti-blanchiment, (ii) à ceux qui sont visés aux articles 37 à 41 de la Loi, (iii) à ceux qui sollicitent l’ouverture de comptes ou la conclusion de contrats numérotés et (iv) à ceux pour qui il n’a pas été possible de recueillir des informations pertinentes concernant l’adresse du client ou, le cas échéant, concernant la date et le lieu de naissance du ou des bénéficiaires effectifs du client ; et
- les principes de base qui doivent être respectés par les procédures de mise en œuvre des dispositions contraignantes en matière d’embargos financiers applicables lors de l’entrée en relation.
2.2. Procédures internes
Se fondant sur leur politique en matière de LBC/FTP (cf. ci-dessus), les institutions financières sont tenues de rédiger des procédures de LBC/FTP destinées à leurs collaborateurs et mandataires.
La BNB recommande en particulier l’élaboration de procédures concernant au moins les sujets suivants:
- l’évaluation globale des risques (voir la page relative à ce thème) ;
- les mesures de vigilance à l’égard de la clientèle et des opérations (voir la page relative à ce thème) ;
- l’analyse des faits et opérations atypiques et la déclaration de soupçons à la CTIF (voir la page relative à ce thème);
- les mesures requises en vue du respect des obligations en matière d’embargos financiers et de gel des avoirs et, le cas échéant, du Règlement européen relatif aux transfert de fonds (voir les pages consacrées à ces thèmes) ;
- la conservation et la protection des données et documents (voir les pages consacrées à ces thèmes : « Conservation des données et documents» et « Traitement et protection des données à caractère personnel ») ; et
- le whistleblowing interne (voir la page relative à ce thème).
La BNB attend des institutions financières que les procédures de LBC/FTP soient :
- formalisées par écrit ;
- validées par leur comité de direction (ou leur direction effective si un tel comité n’a pas été créé) ou, s’il s’agit d’adaptations d’importance mineure, par le haut dirigeant responsable de la LBC/FTP ;
- conformes à la réglementation en vigueur et à ses évolutions ;
- proportionnées et adaptées à la nature et à la taille de leurs activités;
- complètes, détaillées et opérationnelles (le cas échéant, les procédures doivent être déclinées dans des procédures métiers);
- diffusées à l’ensemble du personnel concerné ; et
- actualisées régulièrement (notamment à la suite d’une modification de l’évaluation globale des risques).
2.2.1. Procédure d’évaluation globale des risques
Compte tenu du rôle crucial de l’évaluation globale des risques dans le dispositif de LBC/FTP dont les institutions financières sont tenues de se doter, la BNB estime que l’élaboration par chacune d’entre elles d’un cadre procédural robuste permettant de s’assurer d’un niveau élevé de pertinence et d’objectivité de ses résultats doit constituer pour elles une priorité de tout premier ordre (voir aussi la section 1. ci-dessus).
Cette procédure interne devrait inclure au moins :
- l’énumération des variables et des facteurs pertinents de risques pris en compte, ainsi que des sources d’informations quantitatives et/ou qualitatives relatives à chacun de ces facteurs auxquels il est recouru ;
- la méthodologie d’analyse des facteurs de risques, en ce compris leurs éventuelles pondérations ;
- la procédure de validation et d’adoption des résultats de l’évaluation globale des risques par le comité de direction ou la direction effective de l’institution financière ;
- la procédure d’information du conseil d’administration quant aux résultats approuvés de l’analyse globale des risques ;
- les modalités d’actualisation de l’évaluation globale des risques, incluant sa revue périodique ou à la suite d’événements significatifs.
La procédure d’évaluation globale des risques tient notamment compte des cas de risques accrus dans lesquels la Loi anti-blanchiment prescrit l’exercice d’une vigilance accrue (voir la page « Cas particuliers de vigilance accrue »).
2.2.2. Procédures relatives aux mesures de vigilance à l’égard de la clientèle et des opérations
D’une manière générale, les procédures internes relatives aux mesures de vigilance à l’égard de la clientèle et des opérations doivent constituer le prolongement direct de la classification des risques. Il est en effet rappelé que les institutions financières doivent être à même de démontrer que, pour chacune de leurs catégories de risques, leurs procédures internes relatives aux mesures de vigilance sont appropriées pour atténuer les risques ainsi classifiés, tenant compte de leur nature et de leur intensité.
De plus, lorsque les activités exercées sont diverses, il peut également être approprié que, pour un même niveau et une même nature de risques, l’institution financière établisse des procédures distinctes de vigilance pour chacune de ses activités, afin de tenir adéquatement compte de spécificités propres à celles-ci, notamment sur le plan de leur organisation au sein de l’institution financière. Dans ce cas, celle-ci s’assure néanmoins de la cohérence globale de ses diverses procédures de vigilance.
Les procédures internes relatives aux mesures de vigilance à l’égard de la clientèle et des opérations doivent couvrir au moins les éléments énumérés ci-après.
L’attention est également attirée sur la nécessité pour les institutions financières d’établir leurs procédures internes ici visées en veillant à se conformer aux dispositions spécifiques énoncées par la Loi anti-blanchiment en matière de conservation et de protection des données (il est renvoyé à la page « Conservation des données et documents ») et « Traitement et protection des données à caractère personnel »), ainsi que de l’ensemble des autres législations et réglementations applicables, notamment celles énumérées à la page « Devoirs de vigilance et respect d’autres législations ». Concernant ce dernier aspect, les institutions financières peuvent néanmoins estimer préférable d’établir des procédures internes spécifiques (cf. section 2.2.5. ci-dessous).
A. Procédure d’identification et de vérification de l’identité des clients, mandataires et bénéficiaires effectifs
A.1. Recensement exhaustif des personnes à identifier
Afin de s’assurer que les obligations légales d’identification et de vérification de l’identité sont remplies vis-à-vis de toutes les personnes impliquées dans une relation d’affaires ou une opération occasionnelle, la procédure d’identification et de vérification de l’identité de ces personnes précise les mesures requises pour déterminer si, outre le client, il y a lieu d’identifier un ou plusieurs mandataires du client et, le cas échéant, un ou plusieurs bénéficiaires effectifs, conformément aux dispositions légales. Pour plus d’informations à cet égard, il est renvoyé à la page « Personnes à identifier ».
A.2. Modalités générales d’identification et de vérification de l’identité
Cette procédure précise les mesures requises en vue de procéder à l’identification de ces personnes et à la vérification de leur identité.
A cet égard, l’attention est attirée tout particulièrement sur le fait qu’alors que la réglementation anti-blanchiment antérieure précisait de manière uniforme, par catégories de clients (personnes physiques, personnes morales, constructions juridiques), quelles étaient les données à recueillir pour satisfaire à l’obligation d’identification, l’article 26, § 2, de la Loi anti-blanchiment fixe les règles qui sont d’application dans les situations de « risque standard », tandis que le § 3 du même article permet d’alléger ces exigences dans les situations de risque faible (dans le respect de l’objectif défini au § 1er de cet article), et que son § 4 impose de les renforcer dans les situations de risque élevé.
En ce qui concerne l’obligation de vérification de l’identité des personnes concernées, ni l’article 27 de la Loi anti-blanchiment, ni le règlement BNB anti-blanchiment n’énumèrent de manière précise, uniforme et prescriptive les documents probants auxquels il y a lieu de recourir. L’article 27, § 1er, de la Loi prescrit de confronter les données d’identification recueillies à un ou plusieurs « documents probants ou sources fiables et indépendantes d’information » permettant de confirmer ces données, et autorise explicitement le recours à certains moyens d’identification électroniques pour ce faire; le degré de certitude auquel il est requis de parvenir quant à l’identité des personnes concernées est toutefois à déterminer en fonction du niveau de risques identifié en l’espèce, sur la base de l’évaluation individuelle des risques. Le § 2 du même article prévoit que, dans les situations de risque standard, toutes les données d’identification recueillies doivent être vérifiées ; son § 3 permet de réduire, dans les situations de risque faible, le nombre des données d’identification qui doivent être vérifiées, tandis que son § 4 impose, non seulement de vérifier toutes les données d’identification recueillies conformément à l’article 26, §§ 2 et 4 de la Loi, mais également de s’assurer avec une attention accrue que les documents probants ou sources fiables et indépendantes d’information utilisées pour la vérification permettent d’acquérir un degré élevé de certitude quant à l’identité de la personne concernée.
L’introduction de l’approche fondée sur les risques dans le contexte des obligations d’identification et de vérification de l’identité des personnes concernées impose donc aux institutions financières de préciser de manière détaillée dans leurs procédures internes les mesures concrètes à prendre pour satisfaire à ces obligations, et ce de manière cohérente avec le résultat de leur évaluation globale des risques et avec leur classification des risques.
A cette fin, concrètement, le volet « Identification et vérification de l’identité des clients, mandataires et bénéficiaires effectifs » de la procédure relative aux mesures de vigilance peut utilement inclure un tableau de correspondance des documents probants ou sources fiables et indépendantes d’information admises par classe de risque, ainsi que la liste des circonstances dans lesquelles certains documents probants peuvent ne pas être produits.
La BNB s’attend par ailleurs à retrouver dans cette procédure des informations détaillées concernant les modalités concrètes de consultation du Registre national, ainsi que du registre des bénéficiaires effectifs (« registre UBO » créé sur pied des articles 73 et suivants de la Loi anti-blanchiment), de même que la preuve de l’enregistrement des informations utiles dans ledit registre UBO, à recueillir conformément à l’article 29 de la Loi anti-blanchiment, et des mesures d’identification et de vérification de l’identité complémentaires à adopter, conformément au même article, en cas de consultation de ce registre UBO.
Pour plus de précisions, il est renvoyé à la page « Objet de l’identification et de la vérification de l’identité ».
En ce qui concerne l’obligation d’identification, outre le rappel des données devant légalement être recueillies dans les situations de risque « standard » (article 26, § 2, de la Loi anti-blanchiment), la procédure précise les mesures à prendre lorsqu’il ne s’avère pas possible d’identifier l’adresse de la personne à identifier.
En outre, la procédure interne précise les données additionnelles d’identification qui doivent être recueillies dans les situations de risque élevé (cf. article 12, 3°, du Règlement BNB anti-blanchiment).
Si l’institution financière décide de faire usage de la faculté d’alléger l’obligation d’identification des personnes impliquées dans les opérations occasionnelles ou les relations d’affaires ne présentant que des faibles risques, sa procédure interne précise également les données d’identification qui ne doivent pas être recueillies.
En ce qui concerne l’obligation de vérification de l’identité des personnes concernées, l’article 12, 1°, du Règlement BNB anti-blanchiment prévoit que la procédure doit énoncer des règles précises concernant les documents probants ou sources fiables et indépendantes d’informations acceptées par l’institution financière aux fins de la vérification de l’identité. L’attention est attirée sur le fait que, lorsque la procédure interne autorise le recours à de nouvelles technologies au titre de documents probants ou de sources indépendantes d’informations, cette autorisation doit se fonder sur une analyse objective et documentée de la fiabilité de ladite technologie qui permette de s’assurer que son niveau de fiabilité est approprié au regard du niveau et de la nature des risques de BC/FT associés aux relations d’affaires ou opérations occasionnelles dans le cadre desquelles ces technologies sont utilisées. Cette exigence ne s’applique évidemment pas lorsqu’il est question d’un des moyens d’identification électroniques auquel l’article 27, § 1er, de la Loi anti-blanchiment autorise explicitement qu’il soit recouru.
Pour l’élaboration de cette procédure interne, la BNB recommande aux institutions financières de prendre notamment en compte les commentaires et recommandations énoncés à la page « Objet de l’identification et de la vérification de l’identité ».
Sous cet angle, la procédure interne énumère les documents probants qui peuvent être acceptés dans les situations de risque standard et les mesures renforcées de vérification de l’identité des personnes impliquées dans des relations d’affaires ou des opérations occasionnelles présentant des risques élevés. Si l’institution financière décide de faire usage de la faculté d’alléger l’obligation de vérification de l’identité des personnes impliquées dans les opérations occasionnelles ou les relations d’affaires ne présentant que de faibles risques, sa procédure interne précise également les données d’identification qui peuvent ne pas être vérifiées.
A.3. Recours à des solutions d’entrée en relation d’affaires à distance
Lorsque les institutions financières ont recours à des solutions d’entrée en relation d‘affaires à distance, telles que visées dans les orientations de l’Autorité bancaire européenne du 22 novembre 2022, elles devraient établir des procédures ayant pour objectif de s’assurer du respect des obligations de vigilance à l’égard des clients dans de telles circonstances. Ces procédures devraient notamment décrire :
- les exigences relatives au champ d’application, aux différentes étapes et à l’enregistrement de l’évaluation préalable de la solution d’entrée en relation d’affaires à distance (cf. section « 2.3.2 Documents probants et sources fiables et indépendantes d’information » sur la page « Objet de l’identification et de la vérification de l’identité») ;
- de manière générale, les caractéristiques et le fonctionnement de cette solution d’entrée en relation d‘affaires à distance ;
- les situations dans lesquelles la solution d’entrée en relation d’affaires à distance peut être utilisée, en tenant compte des facteurs de risque identifiés dans l'évaluation globale des risques (cf. « Approche fondée sur les risques et évaluation globale des risques ») et de l’évaluation préalable de la solution en question (cf. section « 2.3.2 Documents probants et sources fiables et indépendantes d’information » sur la page « Objet de l’identification et de la vérification de l’identité ») ;
- les informations et documents nécessaires à l’identification et à la vérification de l’identité du client, ainsi que la manière dont les informations des clients sont collectées et vérifiées lors de leur entrée en relation d’affaires à distance. Elles devraient également définir quelles informations sont saisies manuellement par le client, capturées automatiquement à partir de la documentation fournie par le client, ou recueillies à l'aide d'autres sources d’informations internes ou externes ;
- les étapes du processus d’entrée en relation d’affaires à distance qui sont entièrement automatisées et celles qui nécessitent une intervention humaine ;
- les conditions situationnelles et techniques minimales requises pour assurer un fonctionnement adéquat de la solution d’entrée en relation d’affaires à distance (en ce qui concerne, par exemple, la participation d’un employé de l’institution financière au processus d’entrée en relation d’affaires à distance ou le caractère non ambigu des données collectées) ;
- les mesures prises pour s'assurer que les images, vidéos, sons et données collectés par la solution d’entrée en relation d’affaires à distance soient capturés dans un format lisible et de qualité suffisante pour que le client soit identifiable sans équivoque ;
- les contrôles mis en place pour garantir que la première transaction avec un nouveau client ne soit exécutée qu'une fois que toutes les mesures de vigilance initiales ont été appliquées (cf. « Moment de l’identification et de la vérification de l’identité ») ;
- la manière dont les documents et informations collectés lors du processus d'identification à distance sont stockés par l'institution en vue de se conformer à ses obligations légales en matière de conservation des données et documents (cf. « Conservation des données et documents»). Le contenu des dossiers stockés, y compris les images, vidéos, sons et autres données pertinentes, devrait être disponible dans un format qui permette d’effectuer des vérifications et contrôles a posteriori ;
- le cas échéant, les fonctions et tâches d’entrée en relation d’affaires à distance qui seront effectuées ou réalisées, d’une part par l’institution financière et, d’autre part, par des tiers ou par d’autres prestataires de services externes (cf. « Exécution des obligations par des tiers ») ;
- les mesures de contrôle mises en œuvre afin de s’assurer en permanence que la solution d’entrée en relation d’affaires à distance soit conforme aux attentes légales et réglementaires. Cela comprend l’exécution de contrôles de qualité systématiques (proportionnels au risque de BC/FT auquel l’institution financière est exposée) sur l'exactitude et l’adéquation des données collectées ainsi que l'exécution de revues régulières et ad hoc en réponse à diverses circonstances, y compris les changements d’exposition au risque de BC/FT, la détection de déficiences dans la solution d’entrée en relation à distance, l’évolution du cadre réglementaire ou encore une augmentation des tentatives de fraude ;
- les mesures correctrices à mettre en œuvre lorsque des déficiences ou erreurs qui ont été détectées dans la solution d’entrée en relation d’affaires à distance ont un impact sur son efficacité. Ces mesures devraient notamment conduire l'institution financière à réévaluer les relations d'affaires concernées par ces déficiences ou erreurs et, si nécessaire et compte tenu de la réévaluation susvisée, à appliquer des mesures de vigilance supplémentaires, à limiter les transactions pouvant être réalisées par les clients concernés, à réévaluer le profil de risque associé aux relations d'affaires concernées et, si nécessaire, à résilier ces dernières, conformément à la Loi anti-blanchiment. Les institutions financières devraient être en mesure de démontrer à la BNB que des examens ont été réalisés et qu’elles ont mis en œuvre des mesures correctrices pour remédier aux défaillances identifiées sur toute la durée de vie de la solution d’entrée en relation d’affaires à distance. En outre, si des opérations suspectes sont identifiées, elles doivent faire l’objet d’une notification à la CTIF ;
- la procédure à suivre lorsque, notamment pour des raisons d’ordre technique, la solution d’entrée en relation d’affaires à distance n’offre pas un degré de fiabilité suffisant ou, de manière plus générale, ne permet pas à l’institution financière de se conformer à ses obligations légales en matière d’identification et de vérification de l’identité du client ;
- les programmes de formation initiale et régulière mis en œuvre pour assurer la sensibilisation du personnel et une connaissance à jour du fonctionnement de la solution d’entrée en relation à distance, des risques associés et des politiques et procédures visant à atténuer ces risques (cf. « Formation et sensibilisation du personnel »).
A.4. Mesures spécifiques d’identification et de vérification de l’identité des mandataires
S’agissant des mandataires, outre l’application de règles d’identification et de vérification de l’identité identiques à celles qui sont d’application à l’égard des clients (cf. A.2. ci-dessus), la procédure interne énonce des règles particulières visant à s’assurer de leurs pouvoirs de représentation conformément à l’article 12, 4°, du Règlement BNB anti-blanchiment.
A.5. Mesures en vue de comprendre la structure de propriété et de contrôle du client ou du mandataire qui est une société, une personne morale, une fondation, une fiducie, un trust ou une construction juridique similaire
Conformément à l’article 12, 5°, du Règlement BNB anti-blanchiment, la procédure énonce des règles spécifiques en vue de comprendre la structure de propriété et de contrôle du client ou du mandataire qui est une société, une personne morale, une fondation, une fiducie, un trust ou une construction juridique similaire.
A.6. Mesures spécifiques d’identification et de vérification de l’identité des bénéficiaires effectifs
Conformément à l’article 12, 6°, du Règlement BNB anti-blanchiment, la procédure interne énonce des règles précises quant aux mesures à prendre pour identifier et vérifier l’identité des bénéficiaires effectifs (i) des clients, (ii) des mandataires des clients ou (iii) des bénéficiaires de contrats d’assurance vie. Cette procédure précise en outre les mesures à prendre lorsqu’il ne s’avère pas possible d’identifier la date et le lieu de naissance ou l’adresse d’un bénéficiaire effectif.
Lorsque la procédure interne prévoit le recours au registre central des bénéficiaires effectifs visé à l’article 73 de la Loi anti-blanchiment ou aux registres équivalents tenus dans d’autres pays de l’EEE ou dans des pays tiers, elle précise en outre les mesures complémentaires, proportionnées au niveau de risque identifié, qui sont requises conformément à l’article 29 de la Loi anti-blanchiment.
A.7. Report dans le temps de l’identification et de la vérification de l’identité des personnes concernées
Lorsque l’institution financière décide de faire usage de la faculté prévue à l’article 31 de la Loi anti-blanchiment de différer, dans le respect des conditions qui y sont énoncées, la vérification de l’identité des personnes impliquées dans une relation d’affaires, la procédure interne énumère de manière précise et limitative les circonstances dans lesquelles il peut être recouru à cette faculté, ainsi que les mesures requises afin de procéder à la vérification dans les plus brefs délais après le premier contact avec le client.
A.8. Impossibilité de remplir les obligations d’identification et de vérification de l’identité des personnes impliquées dans une relation d’affaires ou une opération occasionnelle
Tenant compte de l’interdiction de nouer une relation d’affaires ou d’exécuter une opération occasionnelle excédant les seuils fixés par la loi lorsqu’il s’avère impossible d’identifier les personnes impliquées et/ou de vérifier leur identité conformément aux dispositions légales (article 33 de la Loi anti-blanchiment), ainsi que l’obligation légale de soumettre de telles situations à un examen particulier en vue de déterminer s’il y a lieu d’adresser une déclaration de soupçon à la CTIF, la procédure interne doit préciser les mesures à prendre par les membres du personnel ou agents indépendants en contact avec les clients pour acter de telles situations et en référer à l’AMLCO, aux fins de l’examen requis par l’article 46 de la Loi anti-blanchiment.
B. Procédure d’acceptation des clients
B.1. Collecte des informations pertinentes relatives aux caractéristiques du client et à l’objet et à la nature de la relation d’affaires ou de l’opération occasionnelle
La procédure interne énumère les informations pertinentes qui doivent être obtenues, en fonction de la classification des risques, pour identifier les caractéristiques du client, ainsi que l’objet et la nature de la relation d’affaires ou de l’opération occasionnelle.
Pour plus d’informations, il est renvoyé à la page « Identification des caractéristiques du client et de l’objet et la nature de la relation d’affaires ou de l’opération occasionnelle ».
B.2. Evaluation individuelle des risques
La procédure interne définit la méthodologie suivie pour procéder à l’évaluation individuelle des risques associés à la relation d’affaires ou à l’opération occasionnelle considérée, conformément à l’article 19 de la Loi anti-blanchiment.
A cet égard, la procédure interne établit les modalités d’analyse de l’ensemble des informations collectées concernant le client et la relation d’affaires ou l’opération occasionnelle envisagées afin de déterminer, dans chaque cas d’espèce, celle des classes de risque définies dans le prolongement de l’analyse globale des risques qui est adéquate afin que les mesures de vigilance les plus pertinentes soient appliquées à la relation d’affaires ou à l’opération occasionnelle pour tenir compte de ses caractéristiques et particularités.
Pour plus d’informations, il est renvoyé à la page « Evaluation individuelle des risques ».
B.3. Acceptation des clients
Dans le prolongement immédiat de l’analyse individuelle des risques, la procédure d’acceptation des clients organise, dans le respect de la politique d’acceptation des clients, le processus de décision de l’institution financière d’entrer en relation d’affaires avec le client ou d’exécuter l’opération occasionnelle souhaitée.
La procédure détermine en particulier, en fonction du niveau de risques de BC/FT établi sur la base de l’évaluation individuelle des risques, le niveau hiérarchique des personnes qui, agissant seules ou conjointement, sont habilitées à prendre la décision d’entrée en relation ou d’exécution de l’opération et, le cas échéant, l’implication de l’AMLCO dans ce processus décisionnel, ainsi que les vérifications requises préalablement à la décision.
La décision d’acceptation du client tient compte, le cas échéant, des demandes particulières du client. Ainsi, notamment, lorsque la demande du client porte sur l’ouverture d’un compte numéroté ou la conclusion d’un contrat numéroté, la procédure d’acceptation des clients précise, conformément à l’article 11 du Règlement BNB anti-blanchiment, les conditions auxquelles ce compte peut être ouvert ou ce contrat conclu, ainsi que les modalités de son fonctionnement, sans que ces conditions et modalités ne puissent faire obstacle à l’exécution des obligations légales et réglementaires de vigilance à l’égard des relations d’affaires et des opérations occasionnelles. Pour plus d’informations, il est renvoyé à la page « Comptes, coffres-forts et contrats anonymes ou numérotés ».
C. Procédure de vigilance à l’égard des relations d’affaires et des opérations occasionnelles
C.1. Mise à jour de l’identification et de la vérification de l’identité des clients, mandataires et bénéficiaires effectifs et d’informations relatives aux caractéristiques du client et à l’objet et à la nature de la relation d’affaires
La procédure interne précise les circonstances dans lesquelles l’identification et la vérification de l’identité des personnes impliquées dans une relation d’affaires (client, mandataires et bénéficiaires effectifs) et/ou la collecte d’informations relatives aux caractéristiques du client et/ou à l’objet et à la nature de la relation d’affaires doivent être réitérées conformément à l’article 35, § 1er, 2°, de la Loi anti-blanchiment pour actualiser les données détenues par l’institution financière. Elle détermine en outre, en fonction du risque, le délai dans lequel cette actualisation ainsi qu’une nouvelle évaluation individuelle du risque doivent être opérées. Pour plus de détails, il est renvoyé à la page « Vigilance à l’égard des relations d’affaires et des opérations occasionnelles et détection des faits et opérations atypiques ».
C.2. Clients existants
La BNB attire en outre l’attention sur le fait que les dispositions de la Loi et du règlement BNB anti-blanchiment s’appliquent, non seulement aux relations d’affaires ou aux opérations occasionnelles que les institutions financières nouent avec de nouveaux clients, mais également sans période transitoire aux relations d’affaires en cours qui ont été nouées avec des clients avant l’entrée en vigueur de ces nouvelles dispositions légales et réglementaires.
La BNB attend dès lors des institutions financières qu’elles réexaminent leurs relations d’affaires nouées avant l’entrée en vigueur de la Loi et du règlement BNB anti-blanchiment au regard des critères définis dans leur politique d’acceptation des clients et ce en accordant la priorité aux relations d’affaires qui étaient considérées comme à haut risque avant ce réexamen.
Pour ce faire, il est attendu des institutions financières, dans le prolongement de ce réexamen :
- qu’elles précisent, dans leurs procédures internes, la méthode d’allocation d’une classe de risque adéquate à chacune des relations d’affaires avec des clients existants, conformément à leur classification des risques, en se fondant sur les informations actuellement disponibles concernant le client et la relation d’affaires ;
- qu’elles procèdent à la mise à jour des informations détenues) concernant les relations d’affaires avec des clients existants lorsque les devoirs de vigilance antérieurement exécutés sont insuffisants, compte tenu de la nouvelle classe de risque allouée à la relation d’affaires.
Sur base de ce réexamen, les institutions financières peuvent, le cas échéant, prendre une des mesures prévues à l’article 15 du Règlement BNB anti-blanchiment.
C.3. Vigilance à l’égard des relations d’affaires et des opérations
La procédure interne définit, conformément à l’article 35, § 1er, 1°, de la Loi anti-blanchiment, les mesures à prendre par les personnes qui sont en contact direct avec les clients ou chargés de l’exécution de leurs opérations pour respecter l’obligation de vigilance à l’égard des relations d’affaires et des opérations occasionnelles et de détection des faits et opérations atypiques. Ces mesures tiennent compte du niveau et de la nature des risques associés à la relation d’affaire ou à l’opération occasionnelle considérée telle qu’elle résulte de l’évaluation individuelle des risques et, notamment, des cas dans lesquels une vigilance accrue est prescrite par la Loi anti-blanchiment. Pour plus d’informations, il est renvoyé à la page « Vigilance à l’égard des relations d’affaires et des opérations occasionnelles et détection des faits et opérations atypiques ».
Cette procédure inclut notamment :
- l’énumération des critères permettant aux personnes qui sont en contact direct avec les clients ou chargés de l’exécution de leurs opérations de détecter les faits et opérations atypiques (voir article 16, 1°, du Règlement BNB anti-blanchiment) ;
- la procédure requise en vue de soumettre ces opérations à une analyse spécifique sous la responsabilité de l’AMLCO, conformément à l’article 45, § 1er, de la Loi, afin de déterminer si ces opérations peuvent être suspectées d’être liées au blanchiment de capitaux ou au financement du terrorisme (voir article 16, 2°, du Règlement BNB anti-blanchiment) ;
- la procédure de validation initiale du système de surveillance visé à l’article 17 du Règlement BNB anti-blanchiment et de réexamen périodique de la pertinence de ce système en vue de l’adapter, au besoin ; et
- le cas échéant, les modalités de surveillance des opérations lorsqu’il est décidé de recourir à un système de surveillance non-automatisé.
2.2.3. Procédure relative à l’analyse des faits et opérations atypiques, à la déclaration de soupçons à la CTIF et au traitement des demandes d’informations adressées par la CTIF à l’institution financière
La procédure relative à l’analyse des faits et opérations atypiques et à la déclaration de soupçons à la CTIF doit couvrir au moins les éléments suivants :
1) elle décrit de manière détaillée le processus d’analyse par l’AMLCO ou sous son autorité :
- a) des rapports internes relatifs aux situations dans lesquelles il s’avère impossible de satisfaire aux obligations d’identifier et de vérifier l’identité des personnes impliquées (voir procédures A.8. ci-dessus) ;
- b) des rapports internes relatifs aux faits et opérations atypiques détectées que les membres du personnel, agents ou distributeurs sont tenus d’adresser à l’AMLCO conformément à la procédure de vigilance à l’égard des relations d’affaires et des opérations (voir procédure C.2. ci-dessus) ;
- c) des alertes générées par le système de surveillance des relations d’affaires et des opérations occasionnelles visé à l’article 17 du Règlement BNB anti-blanchiment ;
et ce, afin de déterminer dans les délais requis par la Loi s’il existe un soupçon de BC/FT ;
2) elle décrit de manière détaillée le processus de traitement par l’AMLCO des demandes de renseignements adressées par la CTIF à l’institution financière afin d’y répondre dans les délais requis ;
3) dans le cas où ces processus impliquent la participation de membres du personnel qui ne relèvent pas de la fonction de Compliance, d’agents ou de distributeurs de l’institution financière, la procédure précise clairement la responsabilité spécifique de ces personnes dans ce contexte, et leur obligation de coopérer pleinement et sans retard à l’analyse des opérations concernées ou à la collecte et à la transmission des informations requises ;
4) elle énonce explicitement que l’AMLCO dispose du pouvoir de principe, mais non exclusif, conformément aux dispositions de la Loi anti-blanchiment, de décider s’il existe un soupçon de BC/FT et, par conséquent, du pouvoir autonome de procéder aux déclarations de soupçons à la CTIF et de répondre aux demandes de renseignements complémentaires que celle-ci lui adresse ;
5) elle énonce explicitement l’interdiction légale faite aux dirigeants, membres du personnel, agents ou distributeurs de l’institution financière, sous réserve des exceptions prévues par la Loi anti-blanchiment, d’informer le client ou les tiers que des informations ou renseignements sont, seront ou ont été transmis à la CTIF, cette interdiction incluant le fait que des opérations du clients sont ou ont été considérées atypiques et font ou ont fait l’objet d’une analyse à ce titre ;
6) elle énonce et précise dans le contexte spécifique de l’institution financière les mesures qui sont prises pour assurer la protection des déclarants conformément à l’article 57 de la Loi anti-blanchiment.
Pour plus d’informations, il est renvoyé aux pages « Analyse des faits et opérations atypiques », « Déclaration de soupçons », « Interdiction de divulgation » et « Protection des déclarants ».
2.2.4. Procédure relative à la surveillance en matière de transferts de fonds et d’embargos financiers et à la mise en œuvre des mesures de gel des avoirs
La ou les procédures relatives à la surveillance des opérations au regard des obligations en matière de transferts de fonds, d’embargos financiers et de gel des avoirs couvrent au moins les éléments suivants :
1) en ce qui concerne les règles relatives aux embargos financiers et au gel des avoirs:
- elles organisent le processus d’analyse et de validation initiale et de réexamen régulier, conformément à l’article 23 du Règlement BNB anti-blanchiment, du système de surveillance des opérations mis en œuvre ;
- elles précisent les modalités de mise à jour régulière des listes de personnes faisant l’objet de mesures d’embargos financiers et de gel des avoirs qui sont utilisées par le système de surveillance des opérations mis en oeuvre ;
- elles organisent de manière précise et détaillée le processus d’analyse dans les plus brefs délais, sous la responsabilité de l’AMLCO, des alertes générées par les systèmes de surveillance des opérations afin de s’assurer de leur pertinence ;
- elles organisent de manière précise et détaillée, dans le cas d’alertes dont la pertinence est avérée :
- le processus de gel immédiat des avoirs concernés ;
- les modalités de notification du gel d’avoirs au service compétent du SPF Finances ; et
- la soumission de l’opération concernée et, le cas échéant, de la relation d’affaires dans le cadre de laquelle l’opération a eu lieu, à un examen sous la responsabilité de l’AMLCO en vue de déterminer si elles génèrent en outre des soupçons de BC/FT (voir chapitre 2.2.3. ci-dessus).
Pour plus d’informations, il est renvoyé à la page « Embargos financiers et gel d’avoirs ».
2) en ce qui concerne les règles relatives aux transferts de fonds:
- les procédures internes organisent le processus d’analyse et de validation initiale et de réexamen régulier, conformément à l’article 23 du Règlement BNB anti-blanchiment, du système de surveillance des opérations mis en œuvre ;
- elles organisent le processus d’analyse et de décision quant aux mesures à prendre conformément aux articles 7 et 8, § 1er, du Règlement européen relatif aux transferts de fonds, lorsque l’institution financière intervient en qualité de prestataire de services de paiement du bénéficiaire, et aux articles 11 et 12, § 1er, lorsque l’institution financière intervient en qualité de prestataire de services de paiement intermédiaire, dans les cas où son système de surveillance des opérations mis en œuvre détecte un transfert de fonds reçu qui n'est pas accompagné des informations complètes requises sur le donneur d'ordre et le bénéficiaire ;
- elles organisent le processus de détection des prestataires de services de paiement des donneurs d’ordre ou intermédiaires des transferts de fonds reçus qui omettent de manière répétée de fournir les informations requises sur le donneur d'ordre ou le bénéficiaire, et le processus de décision quant aux mesures à prendre dans ce cas conformément aux articles 8, § 2, et 12, § 2, du Règlement européen relatif aux transferts de fonds;
- elles organisent le processus visant à soumettre les transferts de fonds reçus sans être accompagnés des informations requises à l’examen de l’AMLCO, conformément aux articles 9 et 13 du Règlement européen relatif aux transferts de fonds, afin de déterminer s’il existe des soupçons de BC/FT (voir le chapitre 2.2.3. ci-dessus) ;
Pour plus d’informations, il est renvoyé à la page « Transferts de fonds ».
2.2.5. Procédure relative à la conservation et à la protection des données et documents
Lorsque les aspects relatifs à la conservation et à la protection des données et documents ne sont pas intégrés dans les procédures internes énumérées ci-dessus, l’institution financière établit une procédure spécifique à cet égard. En toute hypothèse, ces procédures internes couvrent au moins les éléments repris aux pages « Conservation des données et documents » et « Traitement et protection des données à caractère personnel ».
La BNB note à cet égard que la copie des documents probants au moyen desquels l’institution financière a vérifié l’identité du client ou de son mandataire peut être prise sur un support électronique qui peut aussi être utilisé pour en assurer la conservation. Les mêmes obligations de conservation sont applicables aux documents au moyen desquels l’institution a procédé à la vérification de l’identité des bénéficiaires effectifs ou, à défaut, de la justification que cette vérification ne s’est pas révélée raisonnablement possible.
Par ailleurs, la procédure relative à la conservation et à la protection des données et documents établit la liste des informations et documents à conserver, la durée de conservation, l’évènement à compter duquel la durée de conservation doit être calculée commence à courir ainsi que les modalités d’effacement des données à caractère personnel, à l’échéance du délai de conservation. Cette procédure veille à la confidentialité des documents (stockage, personnes y ayant accès, etc…) et, à cette fin, décrit les modalités d’accessibilité aux données qu’ils contiennent et ce, même s’il est recouru à un prestataire extérieur pour archiver ces données. La BNB invite les institutions financières à mettre en place des mécanismes d’accès aux dossiers de la clientèle adaptés à leur organisation et permettant aux acteurs compétents en matière de LBC/FTP d’en disposer dans les meilleurs délais, en particulier pour pouvoir répondre aux demandes de renseignements complémentaires de la CTIF.
2.2.6. Procédure de whistleblowing interne
Conformément à l’article 10 de la Loi anti-blanchiment, l’institution financière établit une procédure de « whistleblowing interne » destinée à permettre aux membres de son personnel ou à ses agents ou distributeurs de signaler au haut dirigeant responsable de la LBC/FTP et à l’AMLCO les infractions aux obligations énoncées dans la Loi anti-blanchiment. Pour plus d’informations, il est renvoyé à la page « Whistleblowing interne ».
2.3. Processus de mise en œuvre
Pour être efficace, l’organisation en matière de LBC/FTP doit reposer sur un ensemble d’outils informatiques et de processus de mise en œuvre / contrôle.
2.3.1. Au niveau des personnes qui sont directement en contact avec les clients ou chargés de l’exécution de leurs opérations
L’institution financière doit mettre en place une base de données des clients, mandataires et bénéficiaires effectifs permettant de respecter concrètement les obligations de vigilance à l’égard de la clientèle. Cette base de données reprend l’ensemble des informations prévues dans la procédure d’identification des clients, des mandataires et des bénéficiaires effectifs et doit être cohérente avec la procédure d’acceptation des clients.
Conformément à l’article 16 du Règlement BNB anti-blanchiment, l’AMLCO doit communiquer aux personnes qui sont en contact direct avec les clients ou chargés de l’exécution de leurs opérations des règles écrites reprenant (i) les critères appropriés leur permettant de détecter les faits et opérations atypiques et (ii) la procédure requise en vue de soumettre ces opérations à l’AMLCO pour qu’il puisse procéder à une analyse spécifique et déterminer si ces opérations peuvent être suspectées d’être liées au BC/FTP. Dans ce cadre, il est nécessaire de mettre à la disposition des membres du personnel concernés un canal de communication vers l’AMLCO, permettant de transmettre les rapports internes en matière d’opérations suspectes, ainsi que ceux relatifs à l’impossibilité d’identifier une personne.
2.3.2. Au niveau de l’AMLCO
Conformément au Règlement BNB anti-blanchiment et tenant compte des caractèristiques de l’institution, l’AMLCO doit au moins disposer des processus et systèmes informatiques suivants :
- l’accès informatique permanent à la base de données des clients, mandataires et bénéficiaires effectifs ;
- un système de surveillance permettant de détecter les faits et opérations atypiques qui, le cas échéant, auraient pu ne pas l’être par les personnes en contact direct avec les clients ou chargées de l’exécution de leur opérations (article 17 du Règlement BNB anti-blanchiment). Pour plus d’informations sur ce système, il est renvoyé à la page « Analyse des faits et opérations atypiques » ;
- un système de surveillance permettant de s’assurer du respect (i) des dispositions du Règlement européen relatif aux transferts de fonds et (ii) des dispositions contraignantes relatives aux embargos financiers. Pour plus d’informations concernant ce système, il est renvoyé aux pages « Transferts de fonds » et « Embargos financiers et gel d’avoirs » ;
- un processus informatique permettant de procéder rapidement au gel des avoirs ;
- un système électronique de stockage de données et d’archivage (ou au format papier pour les très petites institutions financières) permettant d’enregistrer les mesures qui ont été mises en œuvre aux fins de l’exécution des obligations de vigilance, d’analyse des faits et opérations atypiques, de déclaration de soupçons, du respect des dispositions du Règlement européen relatif aux transferts de fonds et des dispositions contraignates relatives aux embargos financiers ;
- en cas de sous-traitance de certaines tâches relevant de l’AMLCO, un processus de suivi des tâches et de la qualité des performances du prestataire de services.
3. Mesures de contrôle interne en matière de LBC/FTP (y compris les attentes concernant la fonction d’audit interne)
En application de la Loi anti-blanchiment, les institutions financières mettent en œuvre un système de contrôle interne du respect des procédures en matière de LBC/FT. Ce système de contrôle interne doit être proportionné à la nature et à la taille des activités de l’institution financière. Il est aussi adapté à la classification des risques établie par l’institution financière et peut prendre des formes multiples.
Le système de contrôle interne doit couvrir l’ensemble des activités susceptibles d’exposer l’institution financière à des risques de BC/FT et porter sur l’ensemble du dispositif en matière de LBC/FTP. Il comprend :
- les contrôles portant sur les activités des services et départements opérationnels (commerciaux, gestionnaires) ;
- les contrôles portant sur les activités de l’AMLCO (en ce compris son activité de déclarant à la CTIF) et, le cas échéant, de son équipe ; et
- les contrôles portant sur les tiers introducteurs ou sous-traitants (mandataires) en matière de LBC/FTP.
Ainsi, il est attendu des institutions financières qu’elles contrôlent de manière périodique et permanente l’ensemble des personnes qui, en son sein, sont actives en matière de LBC/FTP.
Les contrôles périodiques peuvent avoir lieu à diverses occasions et, dans cette mesure, prendre les formes suivantes:
- évaluation annuelle par le comité de direction de l’institution financière de son système de gouvernance ou du contrôle interne ;
- évaluation annuelle par le conseil d’administration de l’institution financière concernant le bon fonctionnement de la fonction de Compliance;
- missions de monitoring réalisées par la fonction de contrôle indépendante Compliance sur, par exemple, les contrôles réalisés par les services opérationnels ou le recours à la sous-traitance ;
- missions d’audit réalisée par l’audit interne concernant le dispositif de LBC/FTP ; etc.
Concernant les deux premières formes de contrôles, la BNB invite les institutions financières à veiller à ce que le rapport qui lui est transmis par le comité de direction et le conseil d’administration vise spécifiquement la gestion du dispositif de LBC/FTP et permette d’identifier les faiblesses en la matière ainsi que la prise de mesures correctives.
S’agissant des missions de monitoring par la fonction Compliance, la BNB s’attend à ce que les plans de monitoring des fonctions de Compliance des institutions financières couvrent bien l’ensemble des obligations en matière LBC/FTP.
S’agissant des missions de la fonction d’audit interne en matière de LBC/FTP, la BNB attend des institutions financières que leur planning d’audit tienne compte des résultats de l’évaluation globale des risques en matière de LBC/FTP. Ainsi, en tant que référentiel, la BNB considère que, pour les institutions qui, sur base de leur évaluation globale des risques, ont un profil de risque de BC/FT standard ou élevé, tous les aspects du processus de LBC/FTP devraient avoir été audités environ tous les 3 ans et que, pour les institutions qui présentent un profil de risque faible, l’ensemble de ces aspects devraient avoir été audités environ tous les 5 ans. Ce référentiel doit être compris sans préjudice d’événements importants qui imposeraient de procéder à un tel audit avant l’échéance périodique ordinaire (comme par exemple en cas de modification législative).
D’une manière générale, la BNB attire l’attention sur le fait que les pages web du présent site internet relatives aux obligations opérationnelles en matière de LBC/FTP (par exemple, Vigilance à l’égard des relations d’affaires et des opérations occasionnelles et détection des faits et opérations atypiques, Analyse des faits et opérations atypiques, Déclaration de soupçons, etc.) reprennent également certaines recommandations de la BNB en matière de contrôle interne et d’audit interne. Il est renvoyé vers ces pages web pour plus d’informations à ce sujet.
4. Application du principe de proportionnalité
La Loi anti-blanchiment et son exposé des motifs indiquent clairement que l’organisation en matière de LBC/FTP à mettre en place doit être proportionnée à la nature et à la taille de l’entité concernée.
Concrètement, ce principe de proportionnalité se traduira principalement dans le niveau de sophistication des procédures internes à adopter et peut justifier la fusion de plusieurs des procédures internes en une seule procédure.
Il peut également se traduire par la possibilité de renoncer, dans les conditions fixées par le Règlement BNB, à l’utilisation d’outils informatiques de surveillance des opérations par des systèmes plus manuels et moins sophistiqués. Il est renvoyé à cet égard à la page « Vigilance à l’égard des relations d’affaires et des opérations occasionnelles et détection des faits et opérations atypiques ».
En outre, même si les exigences d’organisation en matière de LBC/FTP s’appliquent dans tous les cas, leur intensité peut varier en fonction de l’ampleur des risques de BC/FT sous-jacents de sorte que, dans les institutions financières de taille importante et exerçant des activités diversifiées, la BNB s’attend par exemple à retrouver des procédures plus sophistiquées et détaillées que dans de petites institutions financières exerçant des activités plus simples et qui ne sont exposées qu’à des faibles risques de BC/FT, au sein desquelles les procédures internes peuvent être sensiblement plus succinctes et plus simples.
5. Autres règles prudentielles à respecter en matière d’organisation
Les exigences spécifiques en matière de gouvernance en matière de LBC/FT doivent s’intégrer harmonieusement dans l’ensemble des règles prudentielles en matière de gouvernance applicables aux différents secteurs concernés. Ainsi, les règles prudentielles sectorielles en matière de structure organisationnelle, de répartition des tâches, de gestion des conflits d’intérêts, de cohérence des politiques et procédures internes, de remontée de l’information, de contrôle interne doivent être respectées pour la gestion des risques de BC/FT.