Les algorithmes au service de la lutte contre le blanchiment des capitaux

En septembre 2020, le rapport d’investigation menée par le Consortium International des Journalistes d’Investigations (ICIJ) et 108 médias internationaux, appelé « FinCen Files », révélait qu’entre 1999 et 2017, près de 2000 milliards de dollars de transactions suspectes étaient passées par cinq grandes banques internationales. 

Ces révélations des « FinCen Files », ont été suivies par la parution le 3 octobre 2021, d ’une nouvelle enquête de l’ICIJ intitulée « Pandora Papers ». Cette dernière enquête, considérée comme la plus importante par le consortium international des journalistes, initiée par la fuite d’informations confidentielles (2,94 téraoctets) provenant de 14 prestataires de services offshore, mettait cette fois en cause l’utilisation de transactions offshore de quelques 35 dirigeants mondiaux et plus de 300 autres fonctionnaires et hommes politiques (actuels ou anciens) du monde entier. Elle démontrait une fois de plus la fragilité des dispositifs de lutte contre le Blanchiment des capitaux et contre le financement du terrorisme (LBC/CFT), et en particulier au regard de la corruption et de l’évasion fiscale.

De nouvelles mesures prises par des régulateurs en matière de gestion de risques de blanchiment

Au titre des nouvelles mesures de renforcement du dispositif LBC/CFT, il est à signaler particulièrement les nouvelles mesures nord-américaines, ainsi que des propositions législatives et règlementaires pour l’Union Européenne, précisées comme suit :

• Le gouvernement américain adoptait le 11 décembre 2020 une nouvelle loi sur le blanchiment de capitaux (Anti Money Laundering Act of 2020 - AMLA) ainsi que le 1er janvier 2021, celle sur la transparence des entreprises (Corporate Transparency Act -CTA)
• Le Conseil Européen, dans le cadre de la mise en œuvre du Plan d’actions présenté le 7 mai 2020 pour une politique globale de l’Union en matière de prévention du BC/FT, proposait un paquet de propositions législatives, rendu public le 20 juillet 2021, portant sur :
• Une proposition de règlement (2021/0240 du 20/07/2021) instituant une Autorité de Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme (ALBC) -l’autorité devant être pleinement opérationnelle d’ici au début de 2024 ;
• Une proposition d’une nouvelle Directive (2021/0250 du 20/07/2021) relative aux mécanismes à mettre en place par les Etats Membres pour prévenir l’utilisation du système financier aux fins de BC/FT. Celle-ci compléterait les six directives précédentes relative à la lutte contre le BC/FT ;
• Une proposition de règlement (2021/0239 du 20/07/2021) relatif à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme,
• et une proposition de règlement (2021/0241 du 20/07/2021) sur les informations accompagnant les transferts de fonds et de certains crypto-actifs.

Dans le cadre de ces différentes mesures de renforcement de la LBC/CFT, aussi bien américaines qu’européennes, l’une concerne particulièrement l’obligation, tant pour les autorités gouvernementales (Evaluation Nationale de Risques ou ENR) que pour les assujettis financiers et non financiers (Secteur Privé), d’adopter une approche fondée sur les risques, par la mise en œuvre d’une évaluation des risques BC/FT, laquelle a été instituée depuis 2012 par le GAFI dans la première de ses 40 recommandations reformulées. 

Pour les pays francophones de la zone de l’Union Economique et Monétaire Ouest-Africaine (UEMOA), cette mesure obligatoire figure déjà dans l’article 11 de la Directive n° 02/2015/CM/UEMOA relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme dans les Etats membres de cette union depuis 2015. 

La toute récente modification de sa législation en juin 2021 par le Maroc a inscrit désormais cette même obligation dans son arsenal de mesures préventives obligatoires pour ses assujettis nationaux.

Un très faible nombre d’assujettis a mis en pratique ces nouvelles obligations

De fait, à un niveau plus général, il convient de reconnaitre que les autorités gouvernementales ont mis en œuvre cette évaluation nationale de risques BC/FT, de manière progressive et avec des résultats parfois discutables en termes de correspondance avec le niveau réel des risques. La mise en œuvre de la seconde obligation d’évaluation propre aux assujettis a été beaucoup plus problématique. 

En effet, seul un très faible nombre de ces assujettis a à ce jour mis en pratique cette obligation. De fait, il semble que seuls les groupes financiers internationaux ont été à même de pouvoir envisager d’intégrer cette nouvelle dimension de conformité, avec plus ou moins d’efficacité - le Groupe d’Action Financière (GAFI) reconnait que cette nouvelle approche et les responsabilités qu’elle impose, conviennent davantage aux secteurs qui jouissent d’une capacité et d’une expérience plus grande en ce domaine. 

Il y a plusieurs raisons qui tentent d’expliquer cette carence chez les assujettis, telles que l’ignorance des obligations, l’absence d’une méthode codifiée d’évaluation de risques BC/FT, l’absence d’une formation adéquate à cet égard des régulateurs et des assujettis, et surtout le surcoût représenté par le surplus de conformité déjà très onéreuse (pouvant représenter jusqu’à 5 % du chiffre d’affaires pour une grande banque privée).

En effet, jusqu’alors la principale politique interne LBC/CFT des institutions financières se basait principalement sur le principe de la connaissance de son client (en anglais KYC ou Know Your Customer). Cette politique initiée il y a maintenant trente ans par le GAFI se focalisait principalement sur l’identification de la personnalité du client, des obligations de conservation de la documentation pertinente, ainsi que le caractère des opérations financières que le client effectuait. Les nouvelles recommandations de 2012 du GAFI ont introduit une nouvelle dimension relative à la conformité des assujettis financiers et non financiers : l’obligation de la connaissance de ses risques (en anglais KYR ou Know Your Risks).

La nécessité d’un dispositif efficace de conformité et de veille en matière LBC/CF pour les assujettis est d’autant plus indispensable que les régulateurs sont également de plus en plus vigilants et répressifs. Au-delà des FinCen Files, il ressort en effet que 18 des 20 plus grandes banques européennes ont déjà été sanctionnées pour manquements à leurs obligations correspondantes, avec des pénalités financières parfois de plusieurs milliards d’Euros.

L’argent « sale » est toujours plus difficile à détecter

Le risque de BC/FT pour les assujettis est d’autant plus élevé que l’argent « sale » qui circule est plus difficile à détecter, et que les systèmes judiciaires nationaux peinent à le confisquer. 

Selon Europol, dans des rapports successivement publiés en 2016 et 2017, seulement 1,1% des profits criminels avaient été finalement confisqués au niveau de l’UE entre 2010 et 2014, et environ 1 % du produit intérieur brut annuel de l’UE (13 349 milliards d’Euros en 2020) est « identifié comme étant impliqué dans une activité financière suspecte ». 

Dans son rapport d’octobre 2011 sur l’estimation des flux financiers illicites résultant de la criminalité organisée transnationale, l’Office des Nations Unies contre la Drogue et le Crime (ONUDC) estimait quant à lui à moins de 1% des flux financiers illicites mondiaux le montant total (des avoirs illicites) qui était saisi et gelé annuellement. 

L’analyse des résultats judiciaires est particulièrement édifiant sur cette réalité. Un nombre encore trop important de pays, malgré une politique et un système LBC/CFT apparemment conforme aux exigences internationales depuis plusieurs années et malgré un nombre conséquent d’enquêtes ouvertes, n’a à ce jour obtenu aucune ou un nombre insignifiant de condamnations judiciaires définitives (confiscations des actifs criminels incluses). En Europe même, selon un rapport d’Europol de 2017 (« De la suspicion à l’action : convertir le renseignement financier dans un impact opérationnel plus grand »), seulement « 10 % des déclarations de transactions suspectes font l’objet d’une enquête approfondie après leur collecte, un chiffre inchangé depuis 2006 ».

L’approche fondée sur les risques et la nécessité de connaître et maîtriser ceux-ci

L’obligation de procéder désormais à une approche fondée sur les risques, basée sur l’identification et l’évaluation des risques spécifiques au BC/FT et de prendre des mesures efficaces pour les atténuer, représente une nouvelle étape pour les responsables de conformité des entités assujetties.

L'un des objectifs des nouvelles mesures américaines de 2020 et 2021 est de renforcer et de codifier cette approche de la LBC/FT fondée sur le risque, avec en particulier les obligations suivantes pour les entités assujetties :

• l'exigence de rapports ou de registres qui sont utiles pour évaluer les risques ;
• la mise en place d'un "système de gestion des risques raisonnablement conçu".
• et l’évaluation des risques de blanchiment d'argent, de financement du terrorisme, d'évasion fiscale et de fraude pour les institutions financières afin de protéger le système financier contre les abus.

La nouvelle directive européenne du 20 juillet 2021, qui vise à harmoniser et renforcer la convergence dans l’application des règles LBC/CFT (mise en place d’un corpus de règles uniques à l’échelle de l’union européenne), auprès de ses pays membres, précise à ce sujet que l’harmonisation de l’approche de la surveillance fondée sur les risques sera réalisée au moyen d’un outil commun de catégorisation des risques afin d’éviter toute divergence dans la compréhension des risques dans des situations comparables.

Les risques de plus en plus complexes à appréhender en raison des nouvelles technologies financières

De fait, si la méthodologie n’est pas différente de celle plus générale de l’évaluation des risques (processus successif d’identification, évaluation, surveillance, gestion et atténuation), il convient d’identifier correctement les risques inhérents de blanchiment de chacun des assujettis, avec la connaissance approfondie et continue des méthodologies diverses de BC/FT et leur évolution. Tel que l’Union Européenne l’a désormais intégré, l’impact des nouveaux moyens de paiement et de transferts de fonds (cryptomonnaies, NTF, cartes prépayées), représente un défi majeur et un niveau de risque extrêmement élevé pour leur utilisation à des fins BC/FT déjà souligné dans des études typologiques. La réglementation sur ces nouveaux moyens de paiement est encore peu élaborée alors que les arcanes techniques et technologiques évoluent très vite et échappent aussi bien au grand public qu’aux régulateurs. En particulier, les cryptomonnaies jouent ici un rôle plus ambigu : si leur apparition a généré un système financier ad hoc souvent mal contrôlé et donc porteur de risques, elles génèrent aussi des pistes d’audit utiles en cas de saisis d’ordinateurs par les forces de l’ordre pour les besoins des enquêtes. 

L’évaluation par un assujetti doit prendre en compte les Indicateurs Clés de Risques (ICR) relatifs à ses clients, les pays ou zones géographiques dans lesquels il opère, ses produits ou services, ses transactions, ainsi que ses canaux de distribution, comme le détaille la note explicative de la même première recommandation du GAFI. La politique, les contrôles et les procédures internes doivent permettre aux assujettis de gérer et d’atténuer efficacement leurs risques identifiés, dont le niveau est différent en fonction de la nature et du volume de leur activité commerciale.

Il est donc essentiel pour les services de conformité de pouvoir se doter de mécanismes susceptibles d’identifier correctement les risques auxquels ils sont susceptibles d’être confrontés, et les gérer en prenant les mesures adéquates pour leur atténuation efficace. Le risque zéro n’existe pas, mais la démonstration d’une volonté de mise en œuvre dans la mesure de ce qui est exigé est susceptible de pouvoir répondre à d’éventuelles poursuites et sanctions des autorités, et de protéger l’entité contre de graves conséquences.

Le recours aux technologies numériques permet de construire des modèles d’évaluation du risque. 

L’approche traditionnelle de la gestion des risques consiste à procéder à une analyse comportementale des clients et des transactions, basée sur l’existence règles prédéfinies et validées par le régulateur. Cette approche a le mérite de la transparence mais elle souffre de différents problèmes. Par exemple, il est relativement aisé de structurer les transactions pour contourner les règles les plus classiques. Par ailleurs, cette approche génère un nombre très élevé de faux positifs (souvent plus de 90%). Elle s’appuie communément sur des logiciels anciens qui n’ont pas de capacité d’apprentissage automatique. Les services de conformité traitent donc le même cas de façon récurrente et les clients se voient demander la même chose plusieurs fois. Au-delà du coût financier et de la dégradation de la relation client, ces fausses alertes rendent la découverte des cas réellement problématiques plus difficile. 

Une approche basée sur des algorithmes d’intelligence artificielle (ou plus raisonnablement d’apprentissage automatique) offre des possibilités intéressantes. Ces outils sont susceptibles d’aider les responsables de conformité, et de rendre les mesures d’alerte plus dynamiques grâce à un premier niveau automatisé. Cela permet alors aux services de conformité de se focaliser sur les cas les plus problématiques en faisant usage du jugement des spécialistes. Par exemple, les outils d’analyse des graphes permettent de détecter des relations entre les clients qui ne sont pas évidentes au premier abord. D’autres permettent de mieux contextualiser les clients en créant des segmentations automatiques. Différentes techniques permettent d’identifier des anomalies dans des masses de données importantes. D’une manière générale, ces outils permettent un « scoring » dynamique du risque grâce à leur capacité d’apprentissage. Il devient plus difficile pour les individus engagés dans le blanchiment ou le financement du terrorisme d’éviter la détection qu’avec des règles statiques. 

Toutefois, comme toute technologie, l’apprentissage automatique a ses limites. La plus importante est peut-être le manque de transparence. Au niveau de l’approche suivie, ces outils sont basés sur des concepts mathématiques qui peuvent être difficiles à expliquer à des personnes qui n’ont pas cette expertise. Au niveau de la décision individuelle, les modèles les plus sophistiqués peuvent rendre des résultats difficiles à comprendre même par les spécialistes. Par ailleurs, ces modèles nécessitent souvent des masses de données importantes qui soient correctement validées et qui ne souffrent pas de biais. Cela peut être problématique. Par exemple, le régulateur reste souvent muet sur les suites qu’il donne à un signalement, ce qui rend difficile la classification d’une décision comme étant correcte ou non. 

En somme, la LBC/CFT basée sur une approche par les risques semble prometteuses à de nombreux égards et, quoi qu’il en soit, devient une obligation légale. Toutefois, cette approche nécessite une réforme des procédures mises en place par les services de conformité. Cette évolution va nécessiter de nouveaux outils où les solutions basées sur l’apprentissage automatique vont tenir leur place. Au moins à moyen terme, une approche combinant ces outils statistiques avec l’analyse comportementale et surtout l’expertise des professionnels de la conformité va offrir une qualité supérieure d’analyse. Des outils informatiques permettant cette intégration sont en train d’émerger. 

Par 

André Cuisset, Consultant LBC/CFT, Expert auprès de l’ONUDC et de l’Union Européenne, Collaborateur de l’IFPF et du Cercle de la Gouvernance

Francis Hounnongandji, Certified Fraud Examiner, Chartered Financial Analyst, Président de l’Institut Français de Prévention de la Fraude (IFPF)

Gilles Hilary, Professeur à Georgetown University et Chercheur Associé au Centre de Recherche de l’Ecole des Officiers de la Gendarmerie Nationale (CREOGN, France).