Introduction

Les anti-money laundering regulations (AML) désignent l'ensemble des lois, règles et procédures qui obligent les institutions financières et certaines entreprises à détecter, prévenir et signaler le blanchiment de capitaux . Le cadre mondial de référence est établi par le GAFI (Financial Action Task Force) , dont les 40 recommandations se déclinent dans des législations nationales : le Bank Secrecy Act aux États-Unis, les directives AMLD en Europe. Ces obligations s'appliquent aux banques, aux fintechs, aux prestataires de paiement (PSP) et, de plus en plus, aux plateformes e-commerce qui traitent des flux financiers significatifs.

Qu'est-ce que le blanchiment de capitaux ?

Le blanchiment de capitaux est le processus par lequel des fonds d'origine criminelle entrent dans l'économie légale. Trois étapes structurent ce mécanisme : le placement (injection des fonds illicites dans le système financier), le layering (multiplication des transactions pour brouiller les traces) et l' intégration (réintroduction des fonds sous une apparence légitime). Selon le FMI, le blanchiment représente entre 2 % et 5 % du PIB mondial chaque année, soit entre 800 milliards et 2 000 milliards USD. Le phénomène dépasse largement les banques traditionnelles : les plateformes e-commerce, les exchanges de crypto-actifs et les services de paiement en ligne sont désormais des vecteurs ciblés. C'est cette évolution, précisément, qui a poussé les législateurs à élargir le périmètre des obligations anti-blanchiment .

Les principales réglementations AML dans le monde

Les réglementations AML varient selon les zones géographiques, mais toutes s'inscrivent dans le cadre des recommandations du GAFI/FATF . Le tableau ci-dessous présente les principaux dispositifs en vigueur. Zone géographique Réglementation Date clé Obligation principale Autorité de supervision États-Unis Bank Secrecy Act / FinCEN 1970 (maj. 2020) Déclaration des transactions suspectes et en espèces FinCEN Union européenne 6e directive AMLD 2021 Extension aux plateformes numériques, responsabilité pénale élargie Autorités nationales (ACPR en France) Royaume-Uni Proceeds of Crime Act 2002 (maj. régulières) Confiscation des avoirs d'origine criminelle, obligations de déclaration FCA / NCA International 40 Recommandations FATF 1989 (révisions continues) Standard mondial : KYC, surveillance des transactions, coopération internationale GAFI / FATF Depuis 2020, chaque révision réglementaire intègre explicitement les actifs numériques et les crypto-actifs : les législateurs s'adaptent à la réalité des nouveaux modèles économiques en ligne, qu'ils ne peuvent plus ignorer.

Ce que les entreprises doivent concrètement faire

Know Your Customer (KYC) Le KYC (Know Your Customer) est la procédure de vérification d'identité obligatoire avant toute entrée en relation commerciale. Elle implique la collecte d'une pièce d'identité, d'un justificatif de domicile et, selon le profil de risque, d'une preuve de l'origine des fonds. Le KYC simplifié s'applique aux clients à faible risque. Le KYC renforcé (Enhanced Due Diligence) , lui, est requis dès qu'un client présente un risque élevé : personnes politiquement exposées, transactions d'un montant inhabituel, pays inscrits sur les listes grises du GAFI. Transaction monitoring La surveillance des transactions consiste à analyser en continu les flux financiers pour détecter des schémas suspects. Les seuils légaux de déclaration sont fixés à 10 000 euros en Europe pour les transactions en espèces, et à 10 000 USD aux États-Unis via le Currency Transaction Report. Les outils de RegTech basés sur l'intelligence artificielle et le scoring de risque occupent une place croissante dans cette surveillance. Ils traitent des volumes de données qu'aucune équipe humaine ne pourrait absorber seule. Suspicious Activity Reporting (SAR) Toute transaction ou tout comportement suspect doit faire l'objet d'un Suspicious Activity Report (SAR) transmis aux autorités compétentes : FinCEN aux États-Unis, Tracfin en France, ou l'équivalent national. Le délai légal est généralement de 30 jours après la détection. Une règle s'impose sans exception dans ce cadre : l'interdiction du tipping off . Informer le client qu'une déclaration de soupçon a été déposée à son encontre est strictement interdit.

Qui est concerné par les obligations AML ?

Les obligations AML visent d'abord le secteur financier traditionnel : banques, compagnies d'assurance, gestionnaires d'actifs. Elles couvrent aussi les professions non financières désignées (DNFBPs) : avocats, experts-comptables, agents immobiliers, marchands d'art. Pour le e-commerce et les paiements en ligne , les obligations touchent directement les plateformes marketplace, les PSP, les fintechs et les exchanges de crypto-actifs. Les seuils varient selon la juridiction, la taille de l'entreprise et le volume de transactions. Les PSP partenaires ajoutent par ailleurs leurs propres exigences KYC/AML dans leurs conditions contractuelles.

Risques et sanctions en cas de non-conformité

Les sanctions peuvent être lourdes. HSBC a écopé de 1,9 milliard USD en 2012 ; Binance a réglé une amende de 4,3 milliards USD en 2023. Ces chiffres traduisent la détermination des régulateurs à faire appliquer le cadre anti-blanchiment . Au-delà des amendes, les entreprises s'exposent à la suspension ou au retrait de leur licence. Les dirigeants peuvent faire l'objet de poursuites pénales personnelles. Pour un acteur e-commerce, le risque immédiat est la résiliation des contrats avec les PSP et la perte d'accès aux réseaux de paiement. Concrètement : l'activité peut être paralysée du jour au lendemain.

Construire un programme de conformité AML efficace

Un programme de conformité AML solide repose sur cinq piliers : La rédaction de politiques et procédures écrites adaptées au profil de risque de l'entreprise. La désignation d'un compliance officer responsable du dispositif. La formation régulière des équipes sur la détection des signaux d'alerte. La réalisation d' audits internes indépendants pour tester l'efficacité du dispositif. La mise à jour continue du programme en fonction des évolutions réglementaires. Le GAFI préconise une approche basée sur les risques (Risk-Based Approach) : les ressources de contrôle doivent être proportionnées au niveau de risque réel de chaque client ou transaction. Les solutions RegTech automatisent une large part de cette surveillance et réduisent les coûts de conformité de façon mesurable. Pour aller plus loin sur votre conformité, consultez nos guides dédiés au KYC pour les entreprises en ligne , à la prévention de la fraude aux paiements et à la réglementation des crypto-actifs pour les marchands.

Questions fréquentes