Autorité européenne de lutte contre le blanchiment : premiers échanges avec l’industrie

L’Autorité européenne de lutte contre le blanchiment de capitaux et le financement du terrorisme (AMLA) a entamé la préparation de la liste des entités qui seront soumises à sa supervision directe. A cette fin, elle a engagé des échanges avec les acteurs potentiellement concernés ainsi qu’avec les autorités nationales.

Pour mémoire, l’un des apports les plus notables de la dernière réforme européenne en matière de lutte contre le blanchiment de capitaux et de financement du terrorisme (« LCB-FT »)^[1] a été la création de l’AMLA. Sa mission est de contribuer à l’identification et à l’évaluation des risques de LCB-FT, de participer à l’élaboration des textes de niveau 2 et 3, de coordonner la surveillance effectuée par les autorités nationales compétentes, et de surveiller directement certains acteurs assujettis à la LCB-FT.

On rappellera que l’AMLA disposera, à l’égard des entités placées sous sa surveillance directe, de pouvoirs étendus de surveillance et d’enquête. Elle sera notamment dotée des pouvoirs suivants : pouvoir d’injonction^[2], pouvoir de prononcer des astreintes^[3] et pouvoir d’infliger des sanctions pécuniaires^[4].

Sans attendre l’adoption formelle des mesures de niveau 2 qui viendront notamment préciser les critères de sélection des entités qui seront soumises à sa surveillance directe^[5], l’AMLA a indiqué, dans un communiqué en date du 26 janvier 2026[6], avoir lancé une collecte de données pour sélectionner ces entités.

Un premier questionnaire a été adressé à la fois à des entités susceptibles de satisfaire formellement aux critères de soumission à la supervision directe de l’AMLA, et à des entités qui ne devraient probablement pas y répondre. Cette approche permet à l’AMLA de tester et d’affiner ses modèles d’évaluation des risques et de calibrer les critères de sélection avant l’entrée en vigueur du dispositif de supervision directe.

1. Rappel du champ de surveillance ratione personae de l’AMLA

La supervision directe exercée par l’AMLA repose sur des critères de sélection objectifs et préalablement définis dans la réglementation, l’AMLA disposant toutefois d’une marge de manœuvre (limitée) pour sélectionner elle-même les entités qui seront soumises à sa surveillance directe.

On relèvera que la population des entités potentiellement susceptibles d’être soumises à sa surveillance directe est plus limitée que le champ des entités assujetties aux règles de LCB-FT. En effet, l’AMLA ne peut surveiller directement que des établissements de crédit, des établissements financiers ou des groupes d’établissements de crédit ou d’établissements financiers relevant du champ du règlement (UE) 2024/1620 et satisfaisant aux critères d’activité transfrontalière et de profil de risque définis par ce règlement.

Un établissement financier au titre de la réglementation LCB-FT inclut notamment les sociétés holding, les entreprises d’assurance, les entreprises d’investissement, les sociétés de gestion, les établissements de paiement, les établissements de monnaie électronique et les prestataires de services sur crypto-actifs. On relèvera que certains acteurs assujettis à la LCB-FT et opérant dans le secteur financier (tels que les prestataires de services de financement participatif) échapperont à la surveillance directe de l’AMLA.

Pour sélectionner concrètement les établissements de crédit et les établissements financiers (ou leurs groupes) qui seraient surveillés directement, l’AMLA procèdera comme suit :

• Etape 1 : L’évaluation

Tout d’abord, l’AMLA, en coopération avec les autorités nationales, mènera de façon périodique une évaluation des établissements de crédit ou des établissements financiers (ou leurs groupes) qui exercent leurs activités dans au moins six Etats membres (y compris l’État membre d’origine), que ce soit par l’intermédiaire de succursales ou dans le cadre de la libre prestation de services^[7].

Aujourd’hui, un très grand nombre d’établissements sont potentiellement concernés, dans la mesure où il est usuel de passeporter la fourniture de services dans un grand nombre d’Etats membres dans le cadre de la libre prestation de services, même si l’établissement en question n’exerce pas ou plus d’activité dans l’ensemble des Etats membres initialement visés dans la demande de passeport. L’EBA a proposé d’exempter ces entités et de ne prendre en considération que des entités qui exercent effectivement leurs activités dans un Etat membre donné.

L’évaluation a pour objectif de déterminer le niveau de risque de chaque établissement concerné, au regard de plusieurs catégories de facteurs de risque, comprenant notamment : la typologie de la clientèle (y compris la proportion des clients non-résidents de pays tiers à risque élevé et la proportion des personnes politiquement exposées parmi la clientèle), les produits et services proposés (y compris la proportion des produits à risque élevé ou le volume de produits ou services « offrant un niveau substantiel de protection de la vie privée »), les transactions effectuées, les canaux de distribution utilisés et les zones géographiques d’activité (y compris le volume des services de correspondance bancaire ou de correspondance sur crypto-actifs)^[8].

La méthode de classement du profil de risque (inhérent et résiduel) est établie séparément par type d’entité régulée (établissement de crédit, entreprise d’investissement, société de gestion, etc.).

À l’issue de cette analyse, l’AMLA attribue à chaque établissement de crédit, établissement financier ou groupe concerné un niveau de risque résiduel classé comme faible, moyen, important ou élevé^[9].

Pour ce faire, elle détermine d’abord, au regard des critères indiqués ci-dessus, un niveau de risque inhérent propre à chaque entité, puis l’ajuste en fonction de la qualité des politiques, procédures et contrôles internes en matière de LCB-FT afin de déterminer un niveau de risque résiduel qui est alors classé sur l’échelle faible, moyen, important ou élevé.

La procédure d’évaluation doit être précisée dans des textes de niveau 2, qui doivent clarifier notamment les questions devant être posées dans le cadre de l’évaluation, les seuils de matérialité pour chaque critère de risque, la périodicité de l’évaluation, ainsi que la possibilité pour une autorité nationale d’ajuster le risque d’un établissement donné (à la hausse ou à la baisse).

Toutefois, à ce stade, l’EBA a publié seulement une consultation de RTS, avec un délai de réponse entre le 6 mars et le 6 juin 2025. Les textes finaux ne sont pas publiés à la date des présentes.

• Etape 2 : La sélection des établissements concernés

Les établissements de crédit et établissements financiers ainsi que les groupes d’établissements de crédit et d’établissements financiers dont le profil de risque résiduel a été classé comme élevé sont sélectionnés^[10].

Par exception, la première procédure de sélection obéit à une règle transitoire : si, lors de cette première phase, plus de quarante entités remplissent les conditions pour relever d’une surveillance directe, l’AMLA limite la supervision effective aux quarante entités ou groupes.

A cette fin, l’AMLA choisira d’abord les entités exerçant leurs activités dans le plus grand nombre d’États membres.

Si ce critère ne permet pas de ramener le nombre d’entités à quarante, l’AMLA retiendra alors, parmi les entités concernées, celles présentant la proportion la plus élevée de transactions avec des pays tiers^[11].

A cet égard, l’ESMA a récemment publié un rapport dans le domaine des services financiers indiquant que les cinq entreprises les plus importantes (en termes de nombre de clients) fournissant des services d’investissement à des clients non professionnels de manière transfrontalière sont basées à Chypre, en Lituanie, en Allemagne et en Irlande (chacune de ces cinq entreprises fournissant des services à une clientèle significative, composée de 700 000 à 2,6 millions de clients)^[12].

Pour les procédures de sélection suivantes, les textes prévoient que la sélection des entités soumises à la supervision directe est, en principe, revue tous les trois ans. Par ailleurs, les projets de RTS prévoient une évaluation et une classification du profil de risque inhérent et résiduel des entités assujetties à une fréquence au moins annuelle, avec des allègements possibles pour certaines petites entités. Dans ce cadre, les textes permettent à l’AMLA, en consultation avec les autorités nationales de supervision, de fixer un nombre différent, supérieur à quarante, d’entités ou de groupes à superviser, en tenant compte de ses ressources^[13]. Pour ramener le nombre d’entités surveillées à ce chiffre, l’AMLA sélectionne encore une fois d’abord les entités opérant dans le plus grand nombre d’Etats membres et ensuite, parmi celles-ci, les entités présentant la proportion la plus élevée de transactions avec des pays tiers^[14].

Pour les groupes bancaires et financiers, la combinaison d’une évaluation annuelle du profil de risque et d’une révision triennale de la liste des entités supervisées implique de suivre de près l’évolution de leur empreinte géographique, de leurs activités transfrontalières et de leurs expositions à des pays tiers à risque. Des opérations de croissance externe ou de réorganisation intra‑groupe pourront, à elles seules, modifier la probabilité d’une sélection par l’AMLA.

• Ajustements

Si, à la suite de la procédure ordinaire, dans un Etat membre donné, aucun établissement de crédit, établissement financier ou groupe établi, agréé dans cet Etat, ou y disposant d’une filiale, n’a été sélectionné, l’AMLA peut organiser une sélection complémentaire dans cet Etat membre.

Cette procédure ne vise que les établissements ayant un profil de risque élevé, ce qui suggère qu’elle s’applique lorsque l’AMLA a réduit le nombre d’entités sous sa surveillance selon la procédure ordinaire.

À l’issue de cette procédure, une entité ou un groupe à risque élevé y est désigné pour la supervision directe. Si plusieurs entités à risque élevé sont en concurrence dans le même État membre, l’entité retenue est déterminée en fonction des critères de priorisation précédemment mentionnés (nombre d’États membres, proportion de transactions avec des pays tiers)^[15]. Ce mécanisme d’ajustement ne s’applique toutefois pas à la première procédure de sélection^[16].

2. Le transfert exceptionnel de supervision

Le règlement permet également une procédure exceptionnelle et subsidiaire permettant le transfert de la supervision du niveau national vers l’AMLA^[17].

Ce mécanisme vise les situations dans lesquelles des manquements graves, systématiques ou récurrents sont constatés et qu’un risque important en matière de LCB-FT est susceptible de se concrétiser, alors que l’autorité nationale compétente n’est pas en mesure de remédier à la situation.

Dans ce cas, l’AMLA peut décider de placer une entité concernée sous sa supervision directe, y compris lorsqu’elle ne remplit pas, par ailleurs, les critères ordinaires de sélection (activité transfrontalière, profil de risque), soit de sa propre initiative, soit sur la demande de l’autorité nationale concernée.

3. Calendrier et pouvoirs de l’AMLA

Le premier processus de sélection sera effectué par l’AMLA en 2027^[18]. Les entités retenues seront soumises à la supervision directe de l’AMLA à compter de janvier 2028 et devront, une fois sélectionnées, demeurer sous cette supervision jusqu’à la prochaine période d’évaluation.

Dans cette perspective, les établissements de crédit et les établissements financiers qui exercent déjà, ou envisagent d’exercer, leurs activités dans plusieurs Etats membres ont intérêt à anticiper dès à présent (i) en cartographiant leur exposition géographique et la part de leurs activités transfrontalières, (ii) en identifiant les facteurs de risque LCB-FT les plus susceptibles de les placer dans la catégorie des entités à risque élevé et (iii) en documentant de manière robuste l’efficacité de leurs dispositifs de contrôle interne, qui conditionnera l’appréciation de leur risque résiduel.

À court terme, les prochaines étapes clés seront (i) l’adoption des RTS définitifs relatifs à l’évaluation du profil de risque LCB‑FT et aux critères de sélection des entités supervisées directement, (ii) la finalisation par l’AMLA de ses modèles d’évaluation et de collecte de données et (iii) la mise en place, au sein des groupes bancaires, de dispositifs internes permettant de produire, de manière fiable et centralisée, les informations demandées. Les établissements qui disposent déjà de cartographies de risques consolidées et de reportings LCB‑FT harmonisés au niveau groupe seront mieux positionnés pour répondre à ces nouvelles exigences.

Nous restons à votre disposition pour toute analyse complémentaire relative à votre situation et à votre exposition potentielle à ce futur dispositif de supervision directe.

[1] Le « paquet AML » composé de la directive (UE) 2024/1640, du règlement (UE) 2024/1620 et du règlement (UE) 2024/1624, tous en date du 31 mai 2024.
[2] Y compris des injonctions de cesser certains comportements ou de mettre en place des mesures correctives, des demandes de modification de la gouvernance ou encore des restrictions d’exercer certaines activités (article 21 du règlement (UE) 2024/1620 du 31 mai 2024).
[3] L’astreinte est basée sur le chiffre d’affaires journalier moyen (article 23 du règlement (UE) 2024/1620 du 31 mai 2024).
[4] Les sanctions sont calculées en fonction du périmètre national ou international des manquements constatés. Elles peuvent varier entre 1 à 2 millions d’euros, ou 0,5 % à 1 % du chiffre d’affaires, et peuvent aller jusqu’à 10 % du chiffre d’affaires et 10 millions d’euros en cas de facteurs aggravants (article 22 du règlement (UE) 2024/1620 du 31 mai 2024). Ces montants constituent des minima harmonisés au niveau de l’Union, les Etats membres pouvant prévoir des plafonds plus élevés.
[5] Le 12 mars 2024, la Commission européenne a saisi l’Autorité bancaire européenne (EBA) d’un appel à conseil en vue de l’élaboration de projets de RTS dans le cadre du futur dispositif européen de LCB-FT. L’EBA a, à cette occasion, lancé une consultation publique portant sur quatre projets de RTS, dans le cadre d’une phase transitoire précédant la pleine opérationnalité de l’AMLA. Ces projets sont destinés à alimenter les futurs travaux de l’AMLA, qui sera formellement chargée, une fois pleinement opérationnelle, d’élaborer ces normes et de les soumettre à la Commission européenne pour approbation. La consultation était ouverte jusqu’au 6 juin 2025. Ces RTS auront vocation à traiter l’évaluation du profil de risque de blanchiment de capitaux et de financement du terrorisme des entités, les critères de sélection des entités qui seront directement supervisées par l’AMLA, les sanctions pécuniaires, mesures administratives et sanctions et enfin les diligences à l’égard des clients.
[6] https://www.amla.europa.eu/amla-launch-data-collection-exercise-test-risk-assessment-models-financial-sector_en.
[7] Article 12.1. du règlement (UE) 2024/1620 du 31 mai 2024.
[8] Article 12.5. du règlement (UE) 2024/1620 du 31 mai 2024.
[9] Article 12.3. du règlement (UE) 2024/1620 du 31 mai 2024.
[10] Article 13.1. du règlement (UE) 2024/1620 du 31 mai 2024.
[11] Article 106.2. du règlement (UE) 2024/1620 du 31 mai 2024.
[12] ESMA, Report on the 2024 cross-border provision of investment services to retail clients in the EU and EEA, ESMA35-335435667-6654, 22 décembre 2025. Pour le lecteur curieux, le rapport indique que toutes les entreprises qui sont basées dans ces Etats membres, prises ensemble, fournissent des services à environ 9 millions de clients retail (soit 86% du nombre total des clients recevant des services transfrontaliers). La France, quant à elle, a été reportée comme étant le deuxième Etat membre le plus important en termes de nombre de clients recevant des services d’investissement de manière transfrontalière (1,5 million de clients).
[13] Article 13.2. du règlement (UE) 2024/1620 du 31 mai 2024.
[14] Article 13.2. du règlement (UE) 2024/1620 du 31 mai 2024.
[15] Article 13.3. du règlement (UE) 2024/1620 du 31 mai 2024.
[16] Article 106.3. du règlement (UE) 2024/1620 du 31 mai 2024.
[17] Article 14 du règlement (UE) 2024/1620 du 31 mai 2024.
[18] Dispositions transitoires du règlement (UE) 2024/1620 du 31 mai 2024.