Qu’est-ce la Règle de voyage du GAFI ?

Mesure clé du dispositif de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT), la Règle de voyage du Groupe d’action financière (GAFI) énonce que les prestataires de services d’actifs numériques (PSAN) doivent collecter des informations tant sur les donneurs d’ordre que sur les bénéficiaires de transactions.

Chargé de définir le cadre mondial de la LCB-FT, le GAFI gère une liste de mesures – les 40 recommandations – que tous les pays du monde sont invités à transposer dans leur législation nationale. La Règle de voyage a été introduite en 2019 au titre de la révision de la Recommandation 16 qui exige que les établissements financiers fournissent, à toutes les étapes de la chaîne de paiement, des données complètes d’identification sur les donneurs d’ordre et sur les bénéficiaires de virements nationaux et internationaux. Ces données sont censées « voyager » avec les paiements, d’où le nom donné à cette règle. La recommandation précise par ailleurs que les établissements doivent surveiller les transactions et intervenir s’il manque des informations.

L’adoption de la Règle de voyage n’a pas été simple. Dans une notification de 2024, le GAFI a critiqué la lenteur de son application dans certains pays ainsi que les taux effectifs d’application dans les pays l’ayant déjà adoptée.

Pourquoi une Règle de voyage ?

La Règle de voyage du GAFI relève les défis de la LCB-FT en lien avec une utilisation croissante de cryptomonnaies et d’actifs virtuels à travers le monde. L’anonymat des transactions réalisées en cryptomonnaies et en actifs virtuels a séduit un large éventail de clients, mais aussi des criminels susceptibles de détourner ces paiements pour blanchir de l’argent sans se faire repérer. La Règle de voyage est destinée à combler les failles réglementaires provoquées par l’évolution rapide du secteur des actifs virtuels.

Cette règle améliore la LCB-FT en renforçant la traçabilité des transferts d’actifs virtuels, ce qui permet aux établissements financiers et aux autorités de détecter plus efficacement les activités criminelles. Il est donc essentiel que tous les PSAN et autres entités réglementées maîtrisent la Règle de voyage et ses exigences.

Qu’impose la Règle de voyage du GAFI ?

La Règle de voyage s’applique à tous les PSAN, qu’ils soient donneurs d’ordre, intermédiaires ou bénéficiaires dans le cadre d’une transaction. Il s’agit notamment :

• Des plateformes d’échange de cryptomonnaies
• Des fournisseurs et des dépositaires de portefeuilles
• Des sociétés de courtage
• Des fonds spéculatifs en cryptomonnaies
• Des guichets automatiques de cryptomonnaies
• Du minage en pool

Le GAFI recommande un seuil minimum de 1000 dollars (ou 1000 euros) pour soumettre les transactions à la Règle de voyage complète. Pour les transactions inférieures à ce seuil, les PSAN doivent collecter les noms et les adresses des portefeuilles d’actifs virtuels du donneur d’ordre et du bénéficiaire. Pour les transactions supérieures au seuil, doivent être collectés en outre :

• Le nom du donneur d’ordre, son adresse physique, le numéro du compte ou du portefeuille d’actifs virtuels, le numéro national d’identité ou d’identification du client ainsi que sa date et son lieu de naissance
• Le nom du bénéficiaire et le numéro du compte ou du portefeuille d’actifs virtuels

Réglementations LCB et Règle de voyage du GAFI

Le GAFI n’étant pas une autorité de réglementation, les établissements ne sont pas légalement contraints d’appliquer directement ses recommandations. Dès lors, c’est à chaque État membre qu’appartient la décision de les mettre en œuvre en les transcrivant dans leur législation nationale. Si le GAFI a reconnu en 2024 que l’application de la Règle de voyage « traînait » au niveau mondial, certaines juridictions ont fait des progrès, dont :

L’Union européenne : La version de l’Union européenne de la Règle de voyage inscrite dans le règlement (UE) 2023/1113 entrée en vigueur en juin 2023 élargit aux PSAN les conditions actuelles de collecte des informations. En 2024, l’Autorité bancaire européenne (ABE) a publié des recommandations qui énumèrent les informations que les établissements doivent collecter (dont le nom et les numéros de pièce d’identité et de compte) ainsi que la procédure à suivre pour les dossiers pour lesquels des informations manquent.

Les défis de l’application de la Règle de voyage

La conformité à la Règle de voyage et à ses différentes variantes nationales pose de réelles contraintes aux établissements en matière de collecte, de vérification, de partage et de confidentialité des données. Citons notamment :

• Un manque d’homogénéité réglementaire : Comme l’a reconnu le GAFI, l’application de la Règle de voyage a été inégale au niveau mondial, même si la plupart des grandes places financières ont adopté leur propre version. De ce fait, les établissements qui opèrent à l’international doivent prendre en compte toutes les règlementations pertinentes et ne pas considérer que leur conformité dans une juridiction vaut conformité partout ailleurs.
• La mise en conformité tout en préservant la satisfaction des clients : Par rapport aux exigences des établissements traditionnels, ce sont la rapidité, la simplicité et la fluidité de l’entrée en relation d’affaires qui attirent de nombreux clients vers le marché des actifs virtuels. Lorsque les processus d’entrée en relation d’affaires et de filtrage rendent le parcours plus complexe ou plus long que nécessaire, il n’est pas rare que les clients se tournent vers d’autres enseignes. D’où l’importance pour les établissements de rechercher une solution qui réduit les frictions sans compromettre l’efficacité.
• La recherche d’un équilibre entre la LCB et la sécurité des données : Les PSAN et les établissements financiers doivent concevoir des solutions de LCB qui facilitent le partage des données utiles tout en respectant la législation en vigueur sur la confidentialité, notamment le RGPD (Règlement général sur la protection des données) de l’UE et la loi CCPA (California Consumer Privacy Act) en Californie. Dans une révision de 2024 du partage d’informations, le gouvernement britannique a tenu compte des préoccupations des établissements en termes de responsabilité suite à des atteintes à la confidentialité.
• L’augmentation des coûts de conformité : Dans l’ensemble, les établissements financiers traditionnels sont très au point en matière de conformité réglementaire, mais les PSAN, auxquels la Règle de voyage ne s’applique que depuis 2019, ne font l’objet d’un examen réglementaire que depuis peu. C’est pourquoi tous les établissements ne sont pas encore prêts à gérer le surplus de travail et l’investissement en ressources humaines et en outils nécessaires pour se mettre en conformité. Les établissements concernés doivent étudier l’éventail des solutions logicielles de LCB disponibles et choisir celle qui correspond à leurs besoins et qui reste très rentable.

Comment les établissements peuvent-ils se conformer à la Règle de voyage du GAFI ?

Grâce à des solutions logicielles LCB spécialisées, les établissements financiers peuvent relever efficacement leurs défis de conformité et transformer cette contrainte en un atout. Les établissements qui traitent des actifs virtuels doivent s’appuyer sur leurs ressources technologiques et leur appétit pour l’innovation afin de satisfaire et de dépasser les attentes réglementaires en :

• Exerçant une vigilance fondée sur le risque dès l’entrée en relation d’affaires : Tous les établissements financiers, parmi lesquels les fournisseurs de services de cryptomonnaies et autres PSAN, doivent collecter certaines informations pour vérifier l’identité des nouveaux clients et les filtrer pour évaluer les risques de blanchiment qu’ils posent. Si le niveau de risque d’un client requiert une vigilance renforcée (EDD), la recherche peut être élargie à des compléments d’identification ou à la vérification de l’origine des fonds (SOF) et de l’origine de la richesse (SOW).
• Déployant un mécanisme de partage des données : En pratique, au-delà de collecter les données sur les clients, la Règle de voyage incite les établissements à déployer des mesures de partage des informations pour faciliter la transmission des données utiles aux établissements intermédiaires ou bénéficiaires lors du traitement des transactions. Il appartient aux établissements de s’assurer que leur solution est bien conforme aux normes régissant la de sécurité des données telles que le RGPD et la norme ISO27001.
• Utilisant une solution fondée sur une API : Grâce à une interface de programmation d’applications (API), différents composants logiciels peuvent communiquer et transférer les informations à l’aide d’un ensemble d’outils et de protocoles pour intégrer automatiquement les flux de travail LCB aux données sur les clients et sur les risques. Dans ses recommandations sur l’application de la Règle de voyage, le GAFI conseille aux établissements d’utiliser une technologie API.
• Filtrant les paiements en temps réel : La Règle de voyage vise à permettre aux établissements financiers de détecter tout signal d’alerte lié aux paiements et à limiter le risque d’utilisation d’actifs virtuels à des fins malveillantes. Pour mieux se protéger contre la criminalité financière et minimiser leur exposition au risque, les établissements doivent déployer une solution de filtrage des paiements qui s’appuie sur des données issues en temps réel de listes de surveillance et de sanctions.
• Signalant les transactions suspectes : Si la participation du client à une entreprise de blanchiment d’argent, de financement du terrorisme ou à une autre forme de criminalité financière ressort d’une quelconque information associée à un paiement, l’établissement concerné doit enquêter et, le cas échéant, signaler toute activité suspecte à sa cellule de renseignements financiers (CRF) nationale.

Outils de conformité propulsés par l’IA pour les entreprises de cryptomonnaies

Parmi ses clients à travers le monde, ComplyAdvantage compte des fournisseurs de services de cryptomonnaies et d’actifs virtuels. Grâce à des solutions de conformité personnalisées et enrichies par l’intelligence artificielle (IA) et l’apprentissage automatique (ML), ces établissements ont pu renforcer leurs protections contre la criminalité financière et démontrer leur conformité à des textes tels que la Règle de voyage.

Les solutions LCB de pointe de ComplyAdvantage fournissent :

• Des données en temps réel : Nos données propriétaires sur les risques portent sur les listes de sanctions et de surveillance ainsi que sur les listes de personnes politiquement exposées (PPE) et la couverture médiatique négative. Provenant directement des autorités de réglementation et d’autres sources fiables, les informations sont actualisées par des systèmes automatisés pour limiter les mises à jour tardives puis vérifiées par des équipes d’experts.
• Un filtrage des paiements avec un traitement direct renforcé : Les établissements qui utilisent la solution de filtrage des paiements de ComplyAdvantage ont vu baisser les taux de faux positifs jusqu’à 60 % et ont pu traiter instantanément 99 % des transactions, alliant ainsi conformité et croissance de l’activité.
• Une intégration fondée sur une API : Les clients de ComplyAdvantage abandonnent l’utilisation de données anciennes, cloisonnées et éparpillées sur différents systèmes au profit de flux de travail intégrés de manière dynamique à toutes les informations utiles les plus récentes.
• Une parfaite conformité aux mesures de sécurité des données : Les établissements ont l’assurance que leur solution de conformité préserve la sécurité des données personnelles de leurs clients. Satisfaisant aux exigences de protection des données et à la règlementation LCB, la solution logicielle de ComplyAdvantage répond aux normes de la conformité au RGPD et de la certification ISO27001.