Criminalité Financière 2024 : Supervision, Constats et Évolutions Réglementaires de la CSSF
La CSSF a continué d’appliquer un cadre de supervision fondé sur les risques combinant des mesures hors site et sur site pour contrôler le respect des obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme. En 2024, l’autorité a collecté des données quantitatives et qualitatives via le Questionnaire annuel sur la criminalité financière dans tous les secteurs supervisés, mis en œuvre une API pour rationaliser la collecte de données et traité les rapports d’audit détaillés et les rapports LBC/FT des réviseurs d’entreprises agréés et des fonctions de contrôle interne. La CSSF a accordé une attention particulière à la qualité du filtrage des noms, à l’examen en temps opportun des alertes, à l’efficacité de la surveillance des transactions, à l’identification des bénéficiaires effectifs et à la documentation de l’origine des fonds et de la fortune. Le régulateur a également souligné la nécessité d’une gouvernance claire des tâches LBC/FT externalisées et de contrôles de deuxième ligne robustes. L’engagement avec le secteur privé et les collèges de supervision est demeuré intensif. La CSSF a organisé des conférences sectorielles et des groupes de travail d’experts avec les associations professionnelles et la CRF, et elle a présidé ou participé à de nombreux collèges LBC/FT au niveau de l’UE.
Inspections sur Site : Faiblesses Courantes et Priorités Thématiques
En 2024, le département des inspections sur site a réalisé 32 inspections LBC/FT en se concentrant sur les activités à risque élevé — banque privée, financement du commerce, services aux fonds, PFS fournissant des services de domiciliation et d’agent de transfert, établissements de paiement et de monnaie électronique, et PSANs. Les constats critiques récurrents comprenaient un filtrage inefficace des listes de sanctions (fréquence, filtrage delta, seuils de correspondance floue inadéquats), un traitement faible des alertes générées, une diligence continue et une surveillance des transactions incomplètes, une documentation insuffisante de l’origine des fonds/fortune et des lacunes dans l’identification des bénéficiaires effectifs dans les structures complexes. Les inspections ont également révélé des lacunes dans les plans de surveillance de la conformité et dans la supervision des tâches LBC/FT externalisées, notamment un détail contractuel insuffisant et un reporting par les délégataires.
La CSSF a également inspecté des modèles d’affaires innovants ou largement numériques (prestataires de services de paiement, établissements de monnaie électronique, prestataires de services sur actifs numériques) et a noté que si l’automatisation peut améliorer la qualité des contrôles, elle repose sur des données clients et transactionnelles de haute qualité. Le régulateur a exhorté les professionnels à conserver la supervision des outils algorithmiques et d’IA et à documenter comment ces outils améliorent les résultats de contrôle et évitent les faux négatifs ou positifs. La détection du financement du terrorisme et la nécessité de règles de surveillance des transactions spécifiques au FT ont été signalées comme des domaines nécessitant une attention renforcée.
Constats Sectoriels
Établissements de Crédit et Dépositaires Centraux de Titres (DCT)
La supervision des établissements de crédit et des DCT par la CSSF en 2024 a combiné une analyse hors site détaillée avec des inspections ciblées sur site, guidée par les données du Questionnaire annuel sur la criminalité financière et les rapports d’audit détaillés. Les domaines de supervision clés comprenaient l’efficacité et la fréquence du filtrage des listes de sanctions, la qualité de la vigilance à l’égard de la clientèle (y compris la documentation de l’origine des fonds/fortune), l’adéquation des systèmes de surveillance des transactions et la gouvernance interne et les ressources des fonctions de conformité. L’activité de supervision a produit de nombreuses lettres d’observation et plusieurs injonctions lorsque des déficiences graves ont été constatées ; dans un cas, la CSSF a imposé une sanction financière pour des manquements en matière de LBC/FT et de gouvernance. La CSSF a également intensifié le dialogue avec les banques via 170 réunions dédiées à la LBC/FT, des conférences sectorielles et des collèges LBC/FT pour harmoniser les attentes et assurer le suivi des plans de remédiation.
Compte tenu du rôle systémique des banques et de leurs empreintes transfrontalières, la CSSF a souligné la bonne gestion des activités LBC/FT externalisées, des contrôles de deuxième ligne robustes et un traitement rapide des alertes liées aux sanctions (y compris le filtrage delta et les mises à jour après les modifications de listes). Les constats de supervision ont mis en évidence les conséquences d’une qualité et d’une gouvernance des données faibles : des bases de données clients défectueuses et des seuils de correspondance floue élevés ont augmenté le risque de correspondances manquées, tandis que les examens retardés des alertes et une documentation inadéquate ont compromis le signalement des activités suspectes. La CSSF attend des établissements de crédit et des DCT qu’ils démontrent une remédiation mesurable, qu’ils fournissent la preuve d’un ajustement efficace de la surveillance des transactions et qu’ils garantissent que les plans de surveillance de la conformité sont exécutés, documentés et escaladés lorsque nécessaire.
Entreprises d’Investissement
Les entreprises d’investissement ont fait l’objet d’un programme de supervision calibré et fondé sur les risques combinant un score automatique BC/FT issu du Questionnaire sur la criminalité financière avec des ajustements d’experts éclairés par les constats sur site et les rapports d’audit. La CSSF s’est concentrée sur l’évaluation du risque client, le filtrage des noms, la surveillance des transactions et l’identification précise des bénéficiaires effectifs, et elle a exigé que les entreprises d’investissement maintiennent des ressources et une gouvernance de conformité adéquates. Les actions de supervision ont inclus des conférences et des réunions ciblées ; la CSSF a émis des lettres d’observation et d’injonction lorsque les évaluations du risque BC/FT, les procédures de filtrage ou la vigilance continue étaient inadéquates ou non conformes à la loi et aux orientations de la CSSF.
La CSSF a également surveillé l’interaction entre les services d’investissement et les activités de service aux fonds ou de conservation, en accordant une attention particulière aux tâches LBC/FT déléguées et aux contrôles contractuels et opérationnels nécessaires pour préserver la supervision réglementaire. Lorsque la surveillance des transactions et le filtrage des noms étaient externalisés, les superviseurs ont examiné les chaînes de reporting et les flux d’indicateurs de performance vers l’entreprise d’investissement. Dans les situations transfrontalières, la CSSF a joué un rôle actif dans les collèges LBC/FT, en organisant et en participant à des échanges pour coordonner la supervision entre juridictions et garantir des résultats LBC/FT cohérents dans les structures de groupe.
PFS Spécialisés
La supervision des Professionnels du Secteur Financier spécialisés (PFS spécialisés) en 2024 a mis l’accent sur les activités de domiciliation, d’agent de transfert, de fiducie et de prestataire de services aux sociétés (TCSP) et d’autres services exposant les entités à des risques élevés de BC/FT et de corruption. La CSSF a exigé que les PFS spécialisés complètent le Questionnaire annuel sur la criminalité financière et a examiné les rapports LBC/FT internes et les cadres de conformité. Les déficiences courantes comprenaient des dossiers clients incomplets, une vérification inadéquate des bénéficiaires effectifs dans les structures complexes ou avec prête-noms, une surveillance des transactions faible pour les arrangements faiblement capitalisés ou fortement endettés et une documentation insuffisante de la justification économique des structures pouvant masquer des risques d’infractions sous-jacentes liées à la fiscalité.
Pour améliorer les pratiques du marché, la CSSF s’est engagée avec les PFS spécialisés via des groupes de travail, des visites de bienvenue et des conférences sectorielles, et elle a émis des lettres d’observation et des lettres d’accusé de réception suite à l’examen des nominations de responsables de la conformité. La CSSF a exhorté ces entreprises à renforcer leurs fonctions de conformité, à formaliser les délégations de tâches le cas échéant, à adopter des voies d’escalade claires et à s’assurer que le plan de surveillance de la conformité est mis en œuvre avec des contrôles mesurables et un suivi documenté. Une attention particulière a été accordée à l’exposition au FT des clients à but non lucratif, au filtrage des PPE et au respect des obligations en matière de sanctions à la lumière des développements géopolitiques.
Établissements de Paiement et Établissements de Monnaie Électronique
La CSSF a élargi la supervision des établissements de paiement et de monnaie électronique, reconnaissant la numérisation élevée et le volume transactionnel qui créent à la fois des opportunités et des vulnérabilités en matière de BC/FT. La supervision hors site s’est appuyée sur le Questionnaire annuel sur la criminalité financière, les rapports de conformité et d’audit interne, et si nécessaire sur des examens sur site de l’intégration, de la surveillance des flux de paiement, du filtrage des sanctions et de la préparation à la règle de voyage. Le travail de supervision a mis en évidence la nécessité de contrôles rigoureux sur la qualité des données clients, de processus de filtrage des noms sécurisés et auditables (y compris un filtrage delta rapide lors des mises à jour de listes) et d’une surveillance des transactions ajustée aux flux de détail rapides et souvent à haute fréquence.
Les régulateurs ont conseillé aux établissements de paiement et de monnaie électronique de renforcer leurs fonctions de contrôle de deuxième ligne et de garantir des cadres contractuels et des indicateurs de performance robustes lorsque les tâches LBC/FT sont déléguées à des fournisseurs du groupe ou tiers. La CSSF a également surveillé les nouveaux modèles d’affaires et interfaces (y compris l’intégration des commerçants et les flux de places de marché), en soulignant que l’automatisation conforme doit être associée à des tests d’ échantillons, à la gestion des exceptions et à une escalade en temps opportun afin que les services numériques à fort volume ne génèrent pas d’angles morts persistants.
Prestataires de Services sur Actifs Numériques
La supervision des prestataires de services sur actifs numériques s’est intensifiée alors que la CSSF développait une surveillance basée sur l’enregistrement et se préparait au régime réglementaire de l’UE pour les crypto-actifs. Le registre s’est développé en 2024 et l’autorité a collecté des statistiques détaillées sur les montants en conservation et les volumes de transactions, notant une activité substantielle dans les principales cryptomonnaies. Les priorités de la CSSF comprenaient la mise en œuvre de la règle de voyage, l’intégrité et l’exhaustivité des données clients et transactionnelles, les contrôles de conservation, la surveillance des transactions calibrée aux typologies crypto-natives et le filtrage des sanctions, y compris le traitement des transferts transfrontaliers et des arrangements de correspondance.
Bien que l’automatisation et les outils natifs de la blockchain puissent renforcer la traçabilité, la CSSF a averti que toute automatisation n’est efficace que dans la mesure des données qui l’alimentent et de la gouvernance entourant son utilisation. Les PSANs enregistrés ont été invités à démontrer des contrôles opérationnels sur le filtrage des noms, le filtrage delta après les mises à jour de listes, les processus de gestion des données incomplètes de la règle de voyage et la supervision documentée des composants externalisés ou tiers. La CSSF a également souligné l’importance de rapports d’activités suspectes de haute qualité à la CRF et de la coopération avec d’autres autorités nationales pour lutter contre les flux illicites transfrontaliers.
Organismes de Placement Collectif (OPC)
Les départements OPC (organismes de placement collectif) de la CSSF ont maintenu un programme LBC/FT complet couvrant le travail sur site et hors site, s’appuyant sur le SRRC (Summary Report RC LBC/FT), les rapports LBC/FT externes CISERO des réviseurs d’entreprises agréés et le Questionnaire sur la criminalité financière. La supervision hors site a produit un volume élevé de lettres d’observation et d’orientations sectorielles, tandis que les inspections sur site des gestionnaires de fonds d’investissement alternatifs se sont concentrées sur la vigilance à l’égard des investisseurs, les processus d’agent de transfert, la délégation LBC/FT, les risques d’infractions sous-jacentes fiscales et l’exposition au financement de la prolifération au niveau des actifs.
Compte tenu de la diversité des structures d’investissement et des bases d’investisseurs transfrontalières, la CSSF a demandé aux sociétés de gestion et aux gestionnaires de fonds d’assurer une intégration approfondie des investisseurs, une cartographie claire de la propriété effective et des contrôles de risque au niveau des actifs — en particulier pour les investissements dans les navires, les biens à double usage ou les juridictions avec des sanctions ou contrôles d’exportation renforcés. Les équipes OPC ont également élargi l’engagement via un partenariat public-privé et des conférences sectorielles pour partager les attentes de supervision, fournir des exemples de pratiques déficientes et favoriser une mise en œuvre cohérente de la conformité dans l’écosystème des fonds.
Évolutions Réglementaires, Européennes et Internationales
Affectant la LBC/FT, 2024 a été une année charnière pour le droit européen LBC/FT. Le paquet final de l’UE — une nouvelle Autorité LBC (AMLA), un Règlement LBC (AMLR), une Directive LBC révisée (AMLD6) et des mesures connexes — a cristallisé un changement vers l’harmonisation et une surveillance supranationale renforcée. L’AMLA aura une supervision directe sur certaines entités financières sélectionnées et une surveillance indirecte des entités assujetties non financières ; elle mènera des enquêtes, des inspections sur site et des sanctions si nécessaire. L’AMLR impose des règles de vigilance renforcée à l’égard de la clientèle, des obligations de transparence plus strictes en matière de propriété effective et des limites d’externalisation et de responsabilité plus claires. Les États membres doivent également se préparer à mettre en œuvre de nombreuses normes techniques, lignes directrices et actes d’exécution rédigés conjointement par l’AMLA, l’ABE et la Commission ; la CSSF a participé activement à ces processus et encouragé l’engagement de l’industrie.
Au niveau international, les travaux du GAFI ont continué à façonner les priorités : des mises à jour sur les normes relatives aux actifs virtuels, des orientations sur la propriété effective des arrangements juridiques et des examens thématiques (EPNFD) ont influencé les attentes de supervision. L’évaluation positive du Luxembourg dans l’examen horizontal du GAFI sur les EPNFD a été notée. L’UE et le Luxembourg ont mis à jour les listes de juridictions à haut risque et non coopératives et ont adopté des sanctions financières ciblées successives (notamment en réponse au conflit Russie-Ukraine et à d’autres développements géopolitiques). Au niveau national, le Luxembourg a adopté des ajustements législatifs et organisationnels, notamment en formalisant des organes de coordination nationaux et en émettant des circulaires et FAQ de la CSSF clarifiant le filtrage des sanctions, la vérification des bénéficiaires effectifs et les exigences de reporting SRRC.
Pour aller plus loin
- CSSF ¦ Rapport Annuel 2024 - Aperçu des activités et initiatives de la CSSF en 2024 ; Chapitre XXI. Criminalité Financière : pages 122-139 ¦ Lien