Response to consultation on proposed RTS in the context of the EBA’s response to the European Commission’s Call for advice on new AMLA mandates

Go back

Question 1: Do you have any comments on the approach proposed by the EBA to assess and classify the risk profile of obliged entities?

Nous approuvons la démarche d'harmonisation initiée par l'EBA, tout en estimant nécessaire d'adapter certains critères d'évaluation aux particularités des acteurs.

Si l’EBA n’est pas compétente en ce qui concerne les courtiers en assurance, elle doit considérer que leur profil de risque LCB-FT est généralement moins élevé. Or, le critère fondé sur le nombre de client devra considérer que parler du nombre de client amène à intégrer des clients d’une entité, parfois sur des prestations relevant d’autorités et prestations différentes.

Une différenciation et des volumes par secteur d'activité nous paraissent indispensable.

Bien que nous souscrivions à la méthodologie globale, nous préconisons une révision des coefficients appliqués aux acteurs dont le modèle d'activité est centré sur du conseil non-captif sans gestion directe. Ils sont alors exposés de manière indirecte aux risques de blanchiment, ce qui justifierait un traitement différencié dans le calcul des scores de risque.

Question 2: Do you agree with the proposed relationship between inherent risk and residual risk, whereby residual risk can be lower, but never be higher, than inherent risk? Would you favour another approach instead, whereby the obliged entity’s residual risk score can be worse than its inherent risk score? If so, please set out your rationale and provide evidence of the impact the EBA’s proposal would have.

Nous soutenons le principe selon lequel le risque résiduel ne peut dépasser le risque inhérent, car des contrôles efficaces doivent nécessairement atténuer le risque initial. Cette règle nous paraît cohérente, sauf dans le cas exceptionnel où des contrôles obsolètes ou fictifs seraient identifiés.

Par ailleurs, nous suggérons la mise en place d'un mécanisme d'alerte permettant de rehausser exceptionnellement le risque résiduel lorsqu'une défaillance grave du dispositif de contrôle est constatée.

3a: What will be the impact, in terms of cost, for credit and financial institutions to provide this new set of data in the short, medium and long term?

Les exigences proposées posent des défis distincts selon le profil des acteurs concernés mais à l’évidence les acteurs de petite taille vont crouler sous la contrainte, ce qui, au moment où la simplification est prônée comme une nécessité, n’est pas adapté pour eux.

Par ailleurs, par exemple pour le courtage en assurance, l'essentiel des données demandées est déjà disponible dans les systèmes des professionnels pour d’autres motifs que la traçabilité et l’analyse LCBFT, bien que certains éléments comme la géolocalisation précise des clients ou leur répartition territoriale ne soient pas systématiquement recensés.

Le principal enjeu résidera dans les coûts d'adaptation technologique et de formation pour se conformer rapidement aux nouvelles obligations. La proportionnalité doit impérativement être respectée et ce, de manière claire et en visant la « simplicité » pour les plu petits acteurs.

La situation pour ces acteurs de petite taille, dans tous les domaines (finance, prestations bancaires ou en assurance), même équipés d’outils informatiques peut s’avérer très complexe. Ces outils qui sont externes au teneur de compte ne permettent pas forcément la pleine collecte d'informations détaillées sur l'origine géographique de leur clientèle ou la nature des produits sous-jacents.

Cette disparité de moyens appelle des mesures différenciées : les petits acteurs, externes au fournisseur du produit ou service final, auraient besoin soit d'un allègement des exigences, soit d'un accompagnement spécifique des régulateurs ou associations professionnelles, pour mettre en œuvre ces dispositions sans compromettre leur viabilité opérationnelle.

En ce qui concerne le cout, il ne fait aucun doute qu’il va exploser pour les petits acteurs ou ceux qui ne sont pas connectés sur la donnée source (à la différence d’une banque). Un poste digitalement équipé des outils de base coute environ 10 000 € en France. Il semble impossible de ne pas avoir 10% d’augmentation a minima. SI la barre des 20 000 clients est retenue et pour 20 000 clients, selon les métiers, il faut 10 à 60 postes. Et bien évidemment derrière ces postes, des salariés à payer pour le temps en plus ou une IA à développer dans un cadre légal, dont l’action doit être surveillée par des humains. Sur l’ensemble de l’UE, on peut facilement estimer le coût au-delà de 1 milliard d’Euros.

3b: Among the data points listed in the Annex I to this consultation paper, what are those that are not currently available to most credit and financial institutions?

3c: To what extent could the data points listed in Annex I to this Consultation Paper be provided by the non-financial sector?

La fourniture des données par le secteur non financier nécessite la création et généralisation de fichiers de données. Leur variété actuelle et non complétude ne permet leur exploitation que par les acteurs équipés des outils les plus couteux et donc factuellement, favorise les acteurs de volume.

Question 4: Do you have any comments on the proposed frequency at which risk profiles would be reviewed (once per year for the normal frequency and once every three years for the reduced frequency)? What would be the difference in the cost of compliance between the normal and reduced frequency? Please provide evidence.

Pour les petits cabinets (généralement inférieur à 5 salariés), la fréquence annuelle semble excessive au regard de la stabilité de leurs activités. Une périodicité triennale, avec mise à jour obligatoire en cas de changement notable (nouveaux produits ou clientèle modifiée), offrirait un meilleur équilibre entre contrôle réglementaire et proportionnalité, tout en tenant compte de leurs capacités opérationnelles limitées.

Question 5: Do you agree with the proposed criteria for the application of the reduced frequency? What alternative criteria would you propose? Please provide evidence.

Les critères proposés apparaissent globalement pertinents, notamment ceux concernant la taille des structures et la nature des activités. Nous estimons cependant nécessaire d'introduire deux ajustements : d'une part, une dérogation spécifique pour les intermédiaires mono-produits ou mono-marque, dont le risque standardisé et stable justifie un traitement différencié ; d'autre part, l'ajout d'un critère supplémentaire basé sur le volume d'encours conseillés ou sous mandat, qui constituerait un indicateur plus précis de l'exposition réelle au risque.

Question 6: When assessing the geographical risks to which obliged entities are exposed, should crossborder transactions linked with EEA jurisdictions be assessed differently than transactions linked with third countries? Please set out your rationale and provide evidence.

La distinction entre transactions intra-EEE et opérations avec pays tiers se justifie pleinement, particulièrement pour les acteurs dont l’activité est strictement encadrée par le principe de territorialité : ils ne peuvent pour certains exercer leur activité qu’en France et sont limités à des produits financiers préalablement autorisés sur le territoire national. Ce cadre réglementaire restrictif, combiné à leur pratique majoritaire de produits européens homologués, réduit considérablement leur exposition aux risques LCB-FT transfrontaliers.

La convergence réglementaire au sein de l'EEE conforte cette approche différenciée : les opérations transfrontalières entre États membres présentent un risque objectivement moindre que celles impliquant des pays tiers. Cette réalité est particulièrement marquée pour l'assurance-vie distribuée en libre prestation de services, où l'harmonisation européenne et le contrôle préalable des produits offrent des garanties supplémentaires.

Question 1: Do you agree with the thresholds and provided in Article 1 of the draft RTS and their value? If you do not agree, which thresholds to assess the materiality of the activities exercised under the freedom to provide services should the EBA propose instead? Please explain your rationale and provide evidence of the impact the EBA’s proposal and your proposal would have.

Les seuils établis apparaissent globalement appropriés si on considère leur « logique » pour cibler les entités à activité significative.

Nous suggérons néanmoins de revoir les niveaux.

Pour certaines activités 50 millions est trop peu et 20 000 clients doit véritablement être considéré comme « sur un marché hors l’Etat d’agrément ».

Se pose également la question de savoir si le Chiffre d’affaires ne serait pas en réalité un meilleur choix que les flux.

Question 2: What is your view on the possibility to lower the value of the thresholds that are set in article 1 of the draft RTS? What would be the possible impact of doing so? Please provide evidence.

Une réduction des seuils actuels risquerait d’intégrer de manière excessive des petites entités présentant un risque limité, leur imposant ainsi des contraintes réglementaires disproportionnées par rapport à leur profil.

Dans ces conditions, nous ne pouvons appuyer une telle mesure sans qu’une analyse d’impact détaillée n’en démontre au préalable la pertinence et la nécessité.

Question 3: Do you agree on having a single threshold on the number of customers, irrespective of whether they are retail or institutional customers? Alternatively, do you think a distinction should be made between these two categories? Please explain the rationale and provide evidence to support your view.

La distinction entre clientèle retail et institutionnelle nous paraît justifiée. Les clients institutionnels (entreprises, fonds...) présentent des caractéristiques et une gestion des risques distinctes dont la dilution dans une analyse globale fausserait l'appréciation du risque réel.

Question 4: Do you agree that the methodology for selection provided in this RTS builds on the methodology laid down in the RTS under article 40(2)? If you do not agree, please provide your rationale and evidence of the impact the EBA’s proposal and your proposal would have.

La méthodologie prévue à l'article 12(7) s'inscrit effectivement en cohérence avec les principes établis par l'article 40(2), contribuant ainsi à l'harmonisation et à la logique du cadre de supervision.

Question 5: Do you agree that the selection methodology should not allow the adjustment of the inherent risk score provided in article 2 of draft under article 40(2) AMLD6? If you do not agree, please provide the rationale and evidence of the impact the EBA’s proposal would have.

Le maintien d'un score non ajusté lors de la sélection initiale garantit une évaluation objective. Nous estimons cependant qu'une flexibilité pourrait être prévue pour des circonstances exceptionnelles telles que des opérations de fusion ou des changements de contrôle significatifs.

Question 6: Do you agree with the methodology for the calculation of the group-wide score that is laid down in article 5 of the RTS? If you do not agree, please provide the rationale for it and provide evidence of the impact the EBA’s proposal and your proposal would have.

Bien que nous soutenions une pondération accrue pour les entités à risque ou taille importante, nous alertons sur la nécessité d'éviter qu'une simple appartenance à un groupe ne déclenche mécaniquement une supervision directe pour les petits acteurs.

Question 7: Do you have any concern with the identification of the group-wide perimeter? Please provide the rationale and the evidence to support your view on this.

Les critères proposés sont globalement pertinents mais nécessiteraient des adaptations pour tenir compte des spécificités des petits acteurs. Ceux d’entre eux opérant sur plusieurs pays via des prestataires techniques ne devraient pas systématiquement être classés comme haut risque sans analyse approfondie de leur modèle réel. Le cas des entités proches d’une frontière doit notamment être considéré. A défaut cela pourrait entrainer un effet pervers de lourdeur tant pour les entreprises concernées, que pour l’AMLA elle-même.

Question 8: Do you agree to give the same consideration to the parent company and the other entities of the group for the determination of the group-wide risk profile? Do you agree this would reliably assess the group-wide controls effectiveness even if the parent company has a low-relevant activity compared to the other entities?

Oui et cela est plus pertinent et faciliterait le travail des contrôleurs et par voie de conséquences la lourdeur d’un contrôle pour le contrôlé.

Cependant, en fonction de la taille du groupe, nous pensons en effet que la prise en compte de la société mère pourrait s’avérer nécessaire.

Question 9: Do you agree with the transitional rules set out in Article 6 of this RTS? In case you don’t, please provide the rationale for it and provide evidence of the impact the EBA’s proposal and your proposal would have.

Sans présumer de l’effet concret de cette proposition, nous en comprenons la logique, donc n’y sommes pas opposés.

Question 1: Do you agree with the proposals as set out in Section 1 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Exclure les interactions ponctuelles sans suite du champ des "relations d'affaires".

Question 2: Do you have any comments regarding Article 6 on the verification of the customer in a non face-to-face context? Do you think that the remote solutions, as described under Article 6 paragraphs 2-6 would provide the same level of protection against identity fraud as the electronic identification means described under Article 6 paragraph 1 (i.e. e-IDAS compliant solutions)? Do you think that the use of such remote solutions should be considered only temporary, until such time when e-IDAS-compliant solutions are made available? Please explain your reasoning.

Non ces solutions n’offriraient pas le même niveau de protection. Les solutions non conformes au règlement -eIDAS (vidéo, partage de documents).

Cependant les contraintes sont de fait « extrêmement lourdes » pour les petites entités et il n’est nulle part apparent qu’il existe une quelconque « proportionnalité ».

Au-delà même du coût, la complexité et la lourdeur sont telles que nous risquons des contournements ou fausses déclarations massifs et des sanctions en nombre.

Les solutions alternatives elles mêmes ne seront pas aisées à déployer, notamment l’enregistrement et la conservation de longue durée de l’échange.

Si l’on ajoute à cela le coût nous souhaitons a minima la possibilité d’utiliser des solutions alternatives sous conditions (double authentification par exemple). Il faut aussi tenir compte du RGPD et du principe de minimisation des données, ce que la proposition qui est faite ne garantit aucunement.

Question 3: Do you have any comments regarding Article 8 on virtual IBANS? If so, please explain your reasoning.

Oui nous émettons certaines réserves, il y a nécessité de clarifier la responsabilité des professionnels dans la chaîne de vérification. A notre sens, il conviendrait de Limiter l'obligation aux seuls émetteurs d'IBAN virtuels (ex. fintechs, banques), pas aux intermédiaires.

Question 4: Do you agree with the proposals as set out in Section 2 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

L'exigence de contrôle de documents originaux est disproportionnée, non pas en ce qu’elle est demandée, mais dans les modalités.

Il ne doit pas incomber au professionnel et notamment les plus petits, de supporter le coût et la responsabilité des traductions certifiées lorsque les documents présentés sont rédigés en langues étrangères et alors que les outils de traduction sont légion, même si ne générant pas un certificat.

Question 5: Do you agree with the proposals as set out in Section 3 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Nous sommes septiques quant au fait d’imposer aux entreprises assujetties des outils automatisés de screening inabordables pour 60% au moins des entreprises, du fait de leur coût, mais également pour des questions de compatibilité avec leurs autres outils.
Il convient par ailleurs de conserver la gratuité du registre des PPE.

Question 6: Do you agree with the proposals as set out in Section 4 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Elles nous semblent raisonnables.

Question 7: What are the specific sectors or financial products or services which, because they are associated with lower ML/TF risks, should benefit from specific sectoral simplified due diligence measures to be explicitly spelled out under Section 4 of the daft RTS? Please explain your rationale and provide evidence.

Question incomplète

Question 8: Do you agree with the proposals as set out in Section 5 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Dans le principe, pourquoi pas.

Cependant le risque réputationnel est probablement très difficile à appréhender pour beaucoup.

Par ailleurs, nous notons qu’il est proposé de « pouvoir obtenir » des informations, parfois des autorités or, ces dernières les donneront-elles, quand on sait qu’elles refusent souvent au motif de réglementations diverses de le faire, y compris à d’autres structures concourant à la régulation.

De fait alors, la responsabilité basculerait vers l’assujetti sans qu’il ait de réelle solution pour répondre à son autorité LCBFT.

Enfin, nous notons avec circonspection qu’encore une fois il est fait état de documents certifiés conformes, sans considérer que par exemple en France, de droit, la personne qu’ils concernent ou qui dirige certifie lui-même. Il conviendrait a minima de préciser « qui » peut certifier, tout en imaginant un schéma simple.

Question 9: Do you agree with the proposals as set out in Section 6 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Nous sommes réservés car tous nos membres, y compris parmi les plus grands, ne sont pas doté de solutions conformes à e-IDAS.

Les outils « automatisés » donc digitaux à action systématique ne doivent pas être obligatoires. L’humain doit rester une option et ce d’autant que les règles en matière d’I.A. ne sont même pas encore toutes stabilisées, voire définies.

Le cout serait dément pour les petits acteurs et jusqu’aux compétences des professionels seraient à revoir.

Question 10: Do you agree with the proposals as set out in Section 7 of the draft RTS? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Nous sommes globalement d’accord avec ces propositions, nous ajoutons qu’il conviendrait d’établir une liste des sources acceptables (ex : registre du commerce mais exclure certains réseaux sociaux).

Question 11: Do you agree with the proposals as set out in Section 8 of the draft RTS (and in Annex I linked to it)? If you do not agree, please explain your rationale and provide evidence of the impact this section would have, including the cost of compliance, if adopted as such?

Nous n’avons pas réellement d‘avis tranché sur ce point.

Question 1: Do you any have comments or suggestions regarding the proposed list of indicators to classify the level of gravity of breaches sets out in Article 1 of the draft RTS? If so, please explain your reasoning.

La liste actuelle ne distingue pas suffisamment les violations techniques (ex. retard de reporting) des manquements graves (ex. blanchiment avéré), ainsi nous proposons :

D’ajouter un critère de "matérialité" : Mesurer la gravité en fonction de l'impact réel sur le risque LBC/FT (ex. un oubli de mise à jour d'un KYC pour un client à faible risque ≠ un défaut de déclaration de soupçon).
Prendre en compte les moyens de l'entité : par exemple, nos « petits » conseils et intermédiaires (nombre de salarié < 5 ou même 50, voire PME donc 500) ne peuvent pas avoir les mêmes contrôles qu'une banque.

Question 2: Do you have any comments or suggestions on the proposed classification of the level of gravity of breaches sets out in Article 2 of the draft RTS? If so, please explain your reasoning.

La classification en 4 catégories nous parait juste mais nous souhaitons néanmoins avec des exemples concrets des violations – avoir une trame. Nous suggérons :

Une catégorie spécifique "violations mineures" pour les manquements administratifs sans impact sur le risque LBC/FT par exemple (ex. erreur de formatage dans un reporting).
Un seuil minimal pour déclencher les catégories 3-4 : Seules les violations répétées ou systémiques et ayant un impact significatif devraient y figurer.

Question 3: Do you have any comments or suggestions regarding the proposed list of criteria to be taken into account when setting up the level of pecuniary sanctions of Article 4 of the draft RTS? If so, please explain your reasoning.

Nous recommandons d’ajouter à ces critères la proportionnalité pour les petites structures :

Plafonner les amendes à X % du chiffre d'affaires annuel pour les conseils et intermédiaires (vs un pourcentage plus élevé pour les établissement financier type banque, compagnie d’assurances, …).

Ne pas affliger de sanctions pécuniaires pour les premières infractions si la correction est immédiate et en cas de faible conséquence et a fortiori, aucune conséquence prouvable.

Question 4: Do you have any comments or suggestions of addition regarding what needs to be taken into account as regards the financial strength of the legal or natural person held responsible (Article 4(5) and Article 4(6) of the draft RTS)? If so, please explain.

Les dispositions actuelles pourraient menacer la survie des petits conseils et intermédiaires. Nous demandons :

Un test de solvabilité avant sanction : Vérifier que l'amende ne met pas en péril l'activité, sauf volonté assumée de détruire (ou faire sortir du marché).
En cas de sanctions, des paiements échelonnés pour les entités fragiles financièrement.
En cas d’appel de décision, une systématicité du sursis à payer

5a: restrict or limit the business, operations or network of institutions comprising the obliged entity, or to require the divestment of activities as referred to in Article 56 (2) (e) of Directive (EU) 2024/1640?

Les mesures proposées sont disproportionnées pour l’immense majorité des conseils et intermédiaires européens. Nos recommandations :

Restriction d'activité : Ne pas l'appliquer pour des manquements isolés.

5b: withdrawal or suspension of an authorisation as referred to in Article 56 (2) (f) of Directive (EU) 2024/1640?

Les mesures proposées sont disproportionnées pour l’immense majorité des conseils et intermédiaires européens. Nos recommandations :

Retrait d'agrément : Réservé aux cas de fraude avérée ou de récidive.

5c: require changes in governance structure as referred to in Article 56 (2) (g) of Directive (EU) 2024/1640?

Les mesures proposées sont disproportionnées pour l’immense majorité des conseils et intermédiaires européens. Nos recommandations :

Gouvernance : Permettre des corrections progressives

Question 6: Which of these indicators and criteria could apply also to the non-financial sector? Which ones should not apply? Please explain your reasoning.

Certains indicateurs (ex. impact systémique) ne sont pas pertinents pour les conseils et intermédiaires de petite et moyenne taille ou les petits acteurs non financiers. Nous proposons :

Exclure les critères liés au volume d'activité (ex. "nombre de clients affectés") pour les micro-entités.
Adapter les indicateurs de contrôle interne à la taille des structures.

Question 7: Do you think that the indicators and criteria set out in the draft RTS should be more detailed as regards the naturals persons that are not themselves obliged entities and in particular as regards the senior management as defined in AMLR? If so, please provide your suggestions.

Le projet doit mieux encadrer la responsabilité des cadres dirigeants :

Distinguer les manquements intentionnels des erreurs de bonne foi.
Exiger une preuve de négligence grave avant toute sanction.

Question 8: Do you think that the draft RTS should be more granular and develop more specific rules on factors and on the calculation of the amount of the periodic penalty payments and if yes, which factors should be included into the EU legislation and why?

Oui, il conviendrait de prévoir :

Un barème progressif ou une exemption pour les entités démontrant des efforts de conformité.

Question 9: Do you think that the draft RTS should create a more harmonised set of administrative rules for the imposition of periodic penalty payments, and if yes, which provisions of administrative rules would you prefer to be included into EU legislation compared to national legislation and why?

Nous soutenons une harmonisation certes mais celle-ci ne saurait être totale :

Au niveau européen il conviendrait de Définir les principes clés (ex. délais de recours, modalités de recours, transparence des décisions, …) mais laisser aux États (au niveau national) la fixation des montants et modalités de recouvrement.

Name of the organization

ANACOFI