Qu’est-ce que la vigilance à l’égard de la clientèle (CDD) ?

Afin de comprendre les risques de blanchiment d’argent auxquels ils sont confrontés, les établissements financiers et bancaires ainsi que les prestataires de services financiers obligés, doivent vérifier l’identité de leurs clients et la nature de leurs activités. Le processus qui consiste à établir l’identité des clients s’appelle la « vigilance à l’égard de la clientèle » (CDD).

Qu’est-ce que la vigilance à l’égard de la clientèle (CDD) ?

La CDD consiste à collecter des informations pour vérifier l’identité d’un client et évaluer avec plus de précision le niveau de risque criminel que ce dernier présente. Les établissements doivent collecter le nom et l’adresse du client, ainsi que des informations sur l’entreprise dans laquelle il est impliqué et sur l’utilisation qu’il fera de son compte. Pour s’assurer de l’intégrité de leurs clients, les établissements doivent ensuite vérifier ces informations  en se référant à des documents officiels tels qu’un permis de conduire, un passeport, une facture de services publics ou les documents constitutifs d’une société.

La CDD est l’un des fondements du processus de connaissance du client (KYC) qui exige que les établissements comprennent qui sont leurs clients ainsi que leur comportement financier et le type de risque de blanchiment d’argent ou de financement du terrorisme (BC-FT) qu’ils présentent. Comme le stipule la 10ème Recommandation des 40 Recommandations du Groupe d’action financière  (GAFI), tous les États membres du GAFI sont tenus de faire appliquer des mesures de CDD dans le cadre de leur législation nationale en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT).

Principes de base de la vigilance à l’égard de la clientèle

Le devoir de vigilance à l’égard de la clientèle, à son niveau le plus élémentaire, consiste à vérifier l’identité d’un client et l’entreprise dans laquelle il est impliqué, à un niveau de confiance suffisant. Ce processus impose un certain nombre d’obligations réglementaires :

• Identification du client : Les établissements doivent identifier leurs clients en obtenant des informations personnelles, notamment leur nom, leur carte d’identité avec photo, leur adresse et leur certificat de naissance, auprès d’une source fiable et indépendante.
•  Propriété effective :  Les mesures de vigilance raisonnable doivent identifier la propriété effective d’une société dans les cas où celle-ci n’est pas le client. L’identification de la propriété effective doit s’appuyer sur la compréhension de la structure de contrôle de l’entreprise.
• Relation d’affaires : Après avoir identifié le client et le bénéficiaire effectif, les établissements doivent également obtenir des informations sur la nature de la relation d’affaires qu’ils nouent et sur son objet.

Quand la vigilance à l’égard de la clientèle (CDD) est-elle requise ?

Les établissements financiers doivent prendre des mesures KYC et CDD dans les circonstances suivantes :

• Nouvelle relation d’affaires : Avant d’établir une relation d’affaires, les établissements doivent prendre des mesures de vigilance pour vérifier que le client correspond à son profil de risque et ne présente pas une fausse identité.
• Transactions occasionnelles : Certaines transactions occasionnelles nécessitent des mesures de CDD, notamment lorsque les sommes dépassent un certain seuil ou impliquent des entités situées dans des pays à haut risque.
• Soupçon de blanchiment d’argent : En cas de soupçon de BC-FT, les établissements doivent immédiatement mettre en place des contrôles de vigilance supplémentaires pour le client concerné.
• Documentation peu fiable : Lorsque les documents d’identification fournis par les clients sont peu fiables ou incomplets, les établissements doivent effectuer un examen CDD approfondi.
• Surveillance continue : Les établissements doivent exercer une vigilance constante pendant toute la relation d’affaires pour s’assurer que les transactions restent conformes aux profils de risque établis de leurs clients.

Checklist de vigilance à l’égard de la clientèle (CDD)

Conformément aux recommandations du GAFI, les établissements doivent appliquer des mesures CDD fondées sur le risque qui reflètent le niveau spécifique de risque de BC-FT que présentent leurs différents clients. Cette CDD fondée sur le risque est un moyen pour les établissements de moduler leurs obligations de conformité en fonction de leur budget et de leurs contraintes en termes de ressources et aussi de préserver l’expérience de leurs clients. Dans le cadre d’une approche fondée sur le risque, les établissements peuvent déployer des mesures de vigilance plus rapides et plus efficaces pour les clients à faible risque et des mesures de vigilance renforcée (EDD) plus lentes mais plus intensives pour les clients à haut risque, ce qui peut d’ailleurs avoir des conséquences fâcheuses sur l’expérience de ces derniers. 

C’est pourquoi un processus de CDD efficace doit s’articuler autour des étapes suivantes :

1. Établir l’identité du client

Avant d’entamer une relation d’affaires, les établissements doivent établir l’identité et l’activité professionnelle de leur nouveau client potentiel afin d’identifier au plus vite les profils malveillants. 

2. Sécuriser les informations

Après avoir attribué un degré de confiance suffisant à un client, l’établissement doit définir les différents niveaux de risque. Ces informations doivent être stockées dans un endroit numériquement sécurisé où elles pourront être facilement consultées dans le cadre de futurs audits réglementaires.

3. Envisager une vigilance tierce

Les normes du GAFI autorisent les établissements à engager des tiers pour réaliser des opérations de CDD pour leur compte, notamment pour vérifier l’identité des clients, des bénéficiaires effectifs ainsi que la nature des relations d’affaires. Ces tierces parties peuvent en outre fournir des services d’archivage des données en lien avec la CDD. 

Il est important de rappeler que c’est à l’établissement et non pas au tiers que revient la responsabilité réglementaire en matière de CDD. Par conséquent, les établissements doivent s’assurer que leur prestataire de services de CDD remplit certains critères de conformité et qu’il est notamment capable de : 

• Respecter les normes de conformité définies dans la recommandation 10 du GAFI 
• Faire des copies des données CDD sur demande
• Répondre aux exigences du GAFI en matière d’archivage 
• Satisfaire aux normes de conformité réglementaires propres à la juridiction concernée.

4. Déterminer si des mesures de vigilance renforcée (EDD) sont nécessaires

Après avoir défini la catégorie de risque inhérente à un client, les établissements doivent déterminer si des mesures d’EDD plus fortes s’imposent.

Dans le cadre d’une approche de la conformité fondée sur le risque, les clients à haut risque doivent faire l’objet de mesures d’EDD. Les personnes politiquement exposées (PPE)  et les clients visés par des sanctions économiques figurent parmi les clients à haut risque. Destinées à permettre aux établissements de mieux comprendre les risques BC-FT en lien avec leurs clients, les mesures d’EDD imposent généralement un examen plus approfondi, notamment concernant les points suivants : 

• Obtenir des éléments supplémentaires sur l’identité du client
• Déterminer l’origine des fonds ou du patrimoine
• Examiner de plus près la nature de la relation d’affaires ou l’objet d’une transaction
• Appliquer des procédures de contrôle permanent

5. Conserver les archives de la vigilance à l’égard de la clientèle (CDD)

En règle générale, la réglementation en matière de CDD fait obligation aux établissements de conserver les informations qu’ils collectent pendant au moins cinq ans. Il s’agit notamment des copies de tous les documents d’identité (permis de conduire, passeports, actes de naissance, etc.) et de la documentation commerciale ou professionnelle. Les établissements doivent être en mesure de se conformer de manière rapide et efficace aux demandes de documents formulées par les autorités compétentes et de permettre à ces autorités de reconstituer chaque transaction, y compris concernant les détails des sommes et les types de devise concernés.

Qu’est-ce que la surveillance continue ?

La surveillance continue désigne l’examen permanent des relations d’affaires. Ce processus est essentiel car les transactions, même occasionnelles et apparemment anodines, peuvent révéler sur la durée des caractéristiques comportementales nécessitant de faire évoluer le profil de risque du client ou de la relation d’affaires. Une surveillance continue implique de :

• Surveiller les transactions pendant toute la durée de la relation d’affaires pour vérifier que le comportement du client correspond à son profil de risque.
• Rester attentif à toute modification du profil de risque ou à tout élément pouvant éveiller des soupçons.
• Conserver l’ensemble des dossiers, documents, données et informations nécessaires à la CDD.

La surveillance continue s’applique à toutes les relations d’affaires, mais peut être ajustée selon le profil de risque du client, comme les autres mesures de vigilance (CDD).

Signaler les transactions suspectes

Lorsque les mesures de CDD sont à l’origine d’un soupçon ou d’un motif raisonnable comme quoi lequel un client est impliqué dans une activité criminelle, les établissements doivent déclarer ces informations sans délai à la Cellule de renseignement financier (CRF) de leur juridiction en déposant une déclaration d’activités suspectes (SAR).

La législation LCB-FT comprend des mesures qui protègent les employés, les directeurs d’établissement et les cadres contre toute responsabilité pénale et civile suite à la divulgation de bonne foi d’une activité suspecte aux autorités. Conformément aux normes du GAFI, cette protection s’applique quelles que soient les dispositions contractuelles, législatives ou administratives et « même si les parties déclarantes ne savaient pas précisément quelle était l’activité criminelle sous-jacente, et indépendamment de la question de savoir si l’activité illégale a effectivement eu lieu ou non ». 

De même, il est interdit aux employés, aux administrateurs et aux dirigeants d’établissements d’informer les clients comme quoi une déclaration de soupçon a été déposée à leur encontre.

Technologie et expertise pour un processus de vigilance efficace

En fin de compte, des mesures de CDD et de KYC efficaces reposent sur une association de technologies et d’expertise. Face à l’évolution des profils de risque et des comportements criminels, les établissements financiers doivent faire preuve de souplesse et d’innovation, tant dans leur approche de la CDD que pour d’autres aspects de leur politique LCB-FT.

Grâce à une puissante solution de filtrage des clients en lien avec la LCB qui s’appuie sur l’unique base de données en temps réel de personnes et d’entreprises, les établissements peuvent améliorer leur processus de CDD et anticiper les exigences réglementaires. Pour surveiller une relation d’affaires en continu, les établissements doivent disposer de systèmes autonomes qui actualisent les profils des entités quelques minutes après un changement et leur confirment qu’un client continue de ne faire l’objet d’aucune sanction ou couverture médiatique défavorable.

Même si la technologie fournit des outils qui facilitent les processus CDD, la vigilance humaine reste tout de même essentielle pour identifier et gérer les nouvelles menaces.