L'obligation de vigilance
et l'approche par les risques
Comprendre et mettre en œuvre le dispositif de classification des risques imposé aux professionnels assujettis à la lutte contre le blanchiment de capitaux et le financement du terrorisme.
Le fondement de l'approche par les risques
📐 PrincipeIl appartient à chaque professionnel assujetti au dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (ci-après « LCB-FT ») d'exercer, tout au long de la relation d'affaires, une vigilance constante à l'égard de sa clientèle. Cette exigence, posée par l'article L. 561-6 du Code monétaire et financier, repose sur un mécanisme central : l'approche par les risques.
L'approche par les risques constitue le principe directeur selon lequel les mesures de vigilance mises en œuvre par un professionnel assujetti doivent être proportionnées au niveau de risque de blanchiment de capitaux ou de financement du terrorisme identifié. Il ne s'agit pas d'appliquer un régime uniforme de contrôle, mais bien d'adapter l'intensité des diligences à la réalité des menaces détectées, afin d'optimiser les moyens et ressources alloués à la conformité.
Autrement dit, la finalité de cette approche consiste à abandonner toute logique de contrôle mécanique et standardisé au profit d'une démarche intelligente et différenciée. Chaque entité assujettie se trouve investie de la responsabilité de calibrer ses actions de conformité en fonction de l'exposition réelle de son activité aux risques de BC-FT. Ce principe se trouve au cœur de la réglementation européenne depuis l'adoption de la troisième directive anti-blanchiment 2005/60/CE du 26 octobre 2005, et il irrigue désormais l'ensemble du dispositif normatif applicable, tant au niveau national qu'au niveau de l'Union (V. par ex., PE et Cons. UE, règl. (UE) 2024/1624, 31 mai 2024, cons. 28).
Le texte pivot du dispositif réside dans l'article L. 561-4-1 du Code monétaire et financier, qui impose à chaque professionnel assujetti une double obligation : d'une part, concevoir un mécanisme permettant de repérer et d'apprécier les menaces de BC-FT pesant sur son activité ; d'autre part, adopter une stratégie de conformité calibrée sur le niveau de risque ainsi déterminé. Le législateur précise que cette évaluation doit prendre appui sur cinq critères directeurs : la typologie des prestations proposées, les modalités opérationnelles des transactions, les vecteurs de commercialisation employés, le profil de la clientèle, ainsi que la zone géographique d'où proviennent ou vers laquelle transitent les capitaux.
En conséquence, cette cartographie joue un rôle structurant dans l'architecture globale du dispositif de LCB-FT de chaque entité assujettie. Elle détermine à la fois le périmètre et la nature des diligences que le professionnel doit déployer, tout en l'obligeant à intégrer les hypothèses dans lesquelles le législateur qualifie d'office certaines situations comme porteuses de risques élevés de BC-FT — ou, à l'inverse, comme présentant un degré de risque négligeable. Lorsque les assujettis appartiennent à un groupe dont l'entreprise mère a son siège en France, c'est au niveau du groupe que ce dispositif doit être déployé, sous la responsabilité de l'entreprise mère.
L'approche par les risques impose à chaque assujetti d'identifier, d'évaluer et de classifier les risques de BC-FT auxquels son activité l'expose, avant de déterminer l'étendue des obligations de vigilance applicables. Il n'existe pas de classification universelle : chaque entité adapte son dispositif à la réalité de ses activités, de sa clientèle et de son environnement géographique.
Les trois piliers de l'identification des risques
Pour établir sa cartographie des risques, l'entité assujettie doit procéder à une analyse structurée reposant sur trois catégories de facteurs, expressément mentionnées à l'article L. 561-4-1 du Code monétaire et financier. Ces facteurs ne constituent pas une liste fermée : ils dessinent le cadre minimal d'analyse auquel tout professionnel est tenu de se conformer.
Complexité et opacité des produits
Montant et taille des transactions
Canaux de distribution
Caractère innovant ou disruptif
Origine / destination des fonds
Listes GAFI (grise et noire)
Liste UE (art. 9 dir. 2015/849)
Sanctions, embargos
Structures complexes, trusts
PPE, anonymat
Activités économiques
Comportement, origine patrimoine
Le risque lié aux produits, services et transactions
L'évaluation du risque « Produit » conduit le professionnel à analyser les caractéristiques intrinsèques de chaque service proposé et de chaque opération effectuée. À cet effet, il appartient à l'entité assujettie de s'interroger sur le degré de transparence ou d'opacité du produit, sur sa complexité, ainsi que sur la valeur et le montant des transactions concernées. Une gestion de fonds alternatifs sur titres non cotés ne présente pas le même profil de risque qu'une gestion indicielle sur des valeurs du CAC 40.
Par ailleurs, les modalités de commercialisation méritent une attention particulière. Le recours à des intermédiaires ou à des apporteurs d'affaires peut amplifier le risque en introduisant une distance supplémentaire entre l'assujetti et le client final. De même, le caractère innovant ou disruptif d'un produit ou d'une pratique commerciale commande une évaluation préalable spécifique, conformément à la recommandation 15.2 du GAFI qui enjoint aux institutions financières d'apprécier les risques avant le lancement de tout nouveau produit.
Le risque géographique
La dimension géographique occupe une place déterminante dans l'évaluation du risque de BC-FT. Il incombe à l'entité assujettie de tenir compte non seulement du territoire dans lequel le client ou le bénéficiaire effectif est établi, mais également du pays d'origine ou de destination des fonds impliqués dans l'opération envisagée. Plusieurs instruments de référence permettent au professionnel de graduer son appréciation.
| Instrument | Origine | Portée |
|---|---|---|
| Liste grise | GAFI | Pays présentant des carences stratégiques en matière de LCB-FT, susceptible d'évoluer à chaque plénière du GAFI |
| Liste noire | GAFI | Pays à haut risque pouvant faire l'objet d'un appel à contre-mesures |
| Liste des pays tiers à haut risque | Commission européenne (art. 9 dir. 2015/849) | Complète les listes GAFI, publiée en annexe du Règl. délégué (UE) 2016/1675 |
| Listes de sanctions et embargos | UE / ONU | Pays, organisations et personnes faisant l'objet de mesures restrictives |
| Liste des pays non coopératifs | CGI, art. 238-0 A | Pays non coopératifs en matière fiscale au niveau national |
Au-delà de ces listes, il est vivement recommandé de consulter régulièrement les rapports d'évaluation mutuelle du GAFI, les évaluations du FMI (Programme FSAP), ainsi que les sites et communiqués du Ministre de l'Économie et de Tracfin. L'appartenance d'un pays à l'Espace économique européen constitue un facteur atténuant, sans pour autant dispenser d'une analyse au cas par cas.
Le risque lié à la clientèle
L'appréciation du risque « Client » constitue un exercice particulièrement délicat, car elle repose sur un faisceau d'indices à la fois objectifs — la forme juridique, l'activité économique, la situation patrimoniale — et subjectifs — le comportement du client, sa réticence à communiquer des informations, un changement d'attitude inhabituel. Le professionnel doit porter une attention soutenue à la nature du client : une personne physique agissant pour son propre compte ne soulève pas les mêmes interrogations qu'une entité se présentant sous la forme d'un trust ou d'une fondation dont la structure capitalistique favorise l'anonymat.
- Vérifier la nature du client : personne physique, personne morale, structure complexe favorisant l'anonymat (fondation, trust)
- Déterminer si le client agit pour son propre compte ou pour le compte d'un tiers
- Rechercher la qualité éventuelle de personne politiquement exposée (PPE)
- Apprécier la cohérence entre l'activité professionnelle déclarée, la situation financière et le montant des opérations
- Identifier l'origine du patrimoine et la provenance des fonds
- Évaluer la justification économique de la relation d'affaires envisagée
- Être attentif au comportement du client : refus de fournir des informations, changements d'attitude
Les démarches d'identification de la clientèle et de collecte de renseignements relatifs à la relation commerciale ne s'apparentent nullement à une formalité isolée : elles alimentent en continu le processus de construction et d'actualisation périodique de la cartographie des risques. Un client dont le profil paraissait initialement rassurant peut, avec le temps, présenter des signaux d'alerte liés à des changements dans son comportement, dans l'évolution de sa situation patrimoniale ou dans l'environnement géographique de ses opérations.
Construire et documenter la cartographie des risques
La pondération des facteurs de risque
L'identification des risques ne suffit pas : encore faut-il que l'entité assujettie dispose d'une vue globale et cohérente de l'ensemble des facteurs de risque détectés. Pour ce faire, les Orientations des Autorités Européennes de Supervision recommandent de procéder à une pondération des facteurs selon leur degré d'importance, afin de parvenir à une évaluation du risque global associé à chaque relation d'affaires ou à chaque transaction occasionnelle.
Toutefois, cette pondération obéit à des règles strictes destinées à garantir l'intégrité de la classification. Le professionnel doit veiller à ce qu'aucun critère isolé ne pèse de façon disproportionnée sur la note finale, et à ce que des motivations commerciales ou financières ne viennent altérer l'objectivité de l'évaluation. Le mécanisme retenu ne saurait davantage conduire à une impasse empêchant de qualifier une relation comme étant à haut risque, ni supplanter les prescriptions légales qui imposent impérativement un tel classement dans certaines configurations déterminées.
Lorsqu'un établissement utilise des systèmes informatiques automatisés de notation des risques — qu'il les ait conçus en interne ou acquis auprès d'un prestataire externe —, il doit impérativement comprendre le fonctionnement de l'outil et la manière dont les facteurs de risque sont combinés pour parvenir à une note globale. L'établissement doit toujours être en mesure d'annuler une notation générée automatiquement et de justifier les raisons de cette décision auprès de l'autorité compétente.
La formalisation de la cartographie
La classification des risques doit être retranscrite clairement sur un support durable : procédure interne, tableau structuré, logiciel dédié. L'AMF exige que l'évaluation des risques soit suffisamment documentée pour permettre d'en démontrer les principes lors d'un contrôle. Cette exigence de traçabilité se double d'une obligation de mise à jour régulière : la classification est par nature évolutive et doit intégrer les évolutions réglementaires, les risques émergents identifiés par Tracfin ou le GAFI, ainsi que l'Analyse Sectorielle des Risques publiée par l'AMF.
L'ACPR a sanctionné un établissement de paiement dont le dispositif de prévention ne reposait sur aucune grille d'appréciation des menaces véritablement en adéquation avec les spécificités de son activité (Déc. ACPR n° 2022-07, 9 avr. 2024). Dans le même esprit, la Commission nationale des sanctions a rappelé à plusieurs reprises qu'un professionnel de l'immobilier ne saurait se contenter d'adopter les supports standardisés diffusés par un syndicat professionnel, pas davantage qu'il ne peut s'appuyer sur un document conçu à l'échelle d'un réseau d'une vingtaine d'agences : chaque structure doit concevoir son propre outil d'évaluation (CNS, Déc. n° 2017-26, 25 juill. 2018 ; Déc. n° 2019-54, 17 juin 2021 ; Déc. n° 2020-08, 12 mai 2022).
Pour élaborer et actualiser leur cartographie, les assujettis doivent prendre en compte : les informations diffusées par le Ministre de l'Économie, le service Tracfin (cas typologiques, appels à vigilance), le GAFI, l'Analyse Nationale des Risques publiée par le COLB, l'Analyse Supranationale de la Commission européenne, ainsi que, pour les entités sous supervision de l'AMF, l'Analyse Sectorielle des Risques (ASR) publiée le 10 juin 2024.
La modulation de la vigilance selon le niveau de risque
📐 PrincipeLe dispositif de vigilance ne revêt pas une intensité uniforme : son calibrage varie en proportion directe du niveau de menace que le professionnel a identifié au terme de sa classification. Concrètement, l'éventail des diligences s'étend depuis les mesures simplifiées, réservées aux situations à faible exposition, jusqu'aux mesures renforcées, obligatoires lorsque le risque est qualifié d'élevé, en passant par un socle de vigilance standard.
- Institution financière régulée : le client est une personne assujettie établie en France ou dans l'EEE (art. R. 561-15 CMF)
- Entité publique : autorité ou organisme public satisfaisant aux critères de transparence et de contrôle (art. R. 561-15 CMF)
- Société cotée : titres admis sur un marché réglementé en France ou dans l'EEE, ou soumise à des obligations de publicité conformes au droit de l'UE
- Pays à haut risque : opérations impliquant des personnes situées dans un État figurant sur les listes GAFI ou de la Commission européenne (art. L. 561-10 CMF)
- PPE : personnes politiquement exposées (art. L. 561-10 et R. 561-18 CMF)
- Anonymat : produits ou opérations favorisant l'anonymat (art. L. 561-10 CMF)
- Opérations atypiques : transactions particulièrement complexes, d'un montant inhabituellement élevé ou sans justification économique apparente (art. L. 561-10-2 CMF)
Il convient de souligner que ces qualifications légales ne dispensent nullement l'assujetti d'une appréciation au cas par cas. En dehors de ces hypothèses expressément prévues, la mesure et la classification des risques relèvent de la responsabilité propre de l'entité assujettie et répondent à des critères qu'elle définit elle-même. Point capital : le régime de vigilance allégée est exclu dès lors que naît le moindre soupçon de blanchiment ou de financement du terrorisme concernant la relation d'affaires en cause.
La chambre commerciale de la Cour de cassation a rappelé que la banque, en tant que simple gestionnaire du compte, ne supporte qu'un devoir général d'attention qui ne se confond pas avec les exigences spécifiques du dispositif LCB-FT. La responsabilité de l'établissement se trouve minorée lorsque rien ne permet d'établir que ses démarches — au-delà du contrôle portant sur le consentement éclairé du client à l'opération de virement — auraient été de nature à le détourner d'un investissement hautement spéculatif (Cass. com., 1er oct. 2025, n° 24-16.371 — diamants dits d'investissement).
La législation LCB-FT n'a pas vocation à se substituer aux règles générales de responsabilité bancaire. Si un établissement doit exercer sa vigilance en cas d'anomalies manifestes, le dispositif de LCB-FT ne s'applique que dans le cadre spécifique de la lutte contre le blanchiment et le financement du terrorisme.
Les diligences à l'actif des placements collectifs
Les sociétés de gestion de placements collectifs et les succursales de sociétés de gestion européennes sont tenues d'effectuer des diligences LCB-FT non seulement à l'égard de leurs clients (au passif), mais également à l'égard des investissements et désinvestissements effectués à l'actif des placements collectifs gérés ou des portefeuilles gérés sous mandat. Cette obligation, reprise aux articles 320-22 et 321-149 du règlement général de l'AMF, traduit l'idée que le risque de blanchiment ne se cantonne pas à l'entrée en relation d'affaires : il peut se matérialiser à travers les choix d'investissement eux-mêmes.
La démarche de diligences à l'actif
Lorsque la société de gestion investit dans des actifs présentant un risque faible — actions ou obligations négociées sur un marché réglementé dans l'EEE, titres de sociétés soumises à des obligations de publicité conformes au droit de l'Union — et en l'absence de tout soupçon, l'assujetti peut se contenter de diligences minimales : identification de l'émetteur et recueil des informations justifiant le caractère faible du risque.
Focus : les diligences immobilières
Les sociétés de gestion spécialisées dans le secteur immobilier (SCPI, OPCI, OPPCI) conduisent des diligences adaptées à la nature de leurs actifs cibles, portant sur les contreparties de leurs opérations d'acquisition et de cession. Se pose alors une question spécifique : les diligences doivent-elles s'étendre aux locataires éventuels de l'immeuble acquis ?
| Configuration | Diligences sur les locataires recherchés | Diligences sur les locataires déjà présents |
|---|---|---|
| La société de gestion recourt à un tiers pour l'activité de location | NON — les locataires ne sont pas ses clients | NON |
| La société de gestion exerce elle-même l'activité de location en exécution d'un mandat de transaction | OUI, sous réserve que le loyer mensuel soit ≥ 10 000 € HT | NON — absence d'activité de location à l'acquisition |
Les obligations organisationnelles du dispositif
L'approche par les risques ne se résume pas à l'élaboration d'une cartographie théorique. Sa crédibilité repose sur un ensemble d'obligations organisationnelles destinées à garantir que le dispositif fonctionne effectivement au quotidien, qu'il est compris par les collaborateurs et qu'il est supervisé par la direction.
| Obligation | Contenu | Fondement |
|---|---|---|
| Documentation | La classification des risques doit être retranscrite sur un support durable (procédure, tableau, logiciel) et suffisamment documentée pour être présentée à l'autorité de supervision | Art. 320-20 et 321-147 RG AMF |
| Mise à jour | Suivi régulier, révision en fonction des évolutions réglementaires et des risques émergents (rapports Tracfin, GAFI) | Art. L. 561-4-1 CMF |
| Formation | Les collaborateurs doivent maîtriser la logique de proportionnalité du dispositif et savoir la décliner concrètement dans leurs fonctions, afin de porter un jugement éclairé | Art. L. 561-34 CMF |
| Désignation du responsable | Un membre de la direction (dirigeant personne physique) est désigné responsable du dispositif LCB-FT, avec possibilité de délégation sous conditions | Art. 320-17 et 321-144 RG AMF |
La délégation du dispositif : conditions et limites
Le dirigeant désigné comme responsable dispose de la faculté de confier tout ou partie de la mise en œuvre opérationnelle du dispositif LCB-FT à un collaborateur ou à un tiers. Néanmoins, cette délégation est subordonnée à deux conditions cumulatives : d'une part, la personne délégataire doit bénéficier de la compétence, des moyens matériels et humains adéquats ainsi que d'un accès complet aux données nécessaires à sa mission ; d'autre part, elle doit demeurer étrangère à l'exécution directe des opérations et prestations soumises à son contrôle. Le responsable de la conformité et du contrôle interne peut assumer ce rôle, dès lors que les conditions de la délégation demeurent appropriées. Le délégataire peut également être recruté au sein d'une autre entité du groupe.
La délégation ne saurait, sous quelque prétexte que ce soit, compromettre le bon fonctionnement du système de prévention. Le dirigeant conserve une responsabilité personnelle sur l'ensemble des missions confiées et doit être en mesure de rendre compte, à tout moment, de la qualité du dispositif auprès de l'autorité de supervision.
Un dispositif LCB-FT robuste repose sur quatre piliers indissociables : une cartographie des risques propre à l'entité, documentée et régulièrement actualisée ; une modulation effective des mesures de vigilance en fonction du niveau de risque identifié ; une formation continue des collaborateurs leur permettant d'exercer un jugement éclairé ; et une gouvernance claire, avec un responsable identifié au niveau de la direction. L'approche par les risques n'est pas un exercice documentaire : elle doit irriguer l'ensemble des processus opérationnels de l'entité et se traduire en actes quotidiens de vigilance.