Le 10 juillet, l’Autorité européenne de lutte contre le blanchiment (AMLA) transmet à la Commission ses premiers standards techniques, dont celui de la vigilance client. Contrairement à ce qu’on pourrait croire, cette échéance ne fixe pas le sort des adresses auto-hébergées : le régime qui leur est dédié (article 40 du règlement anti-blanchiment) ne s’appliquera qu’en juillet 2027, et les orientations qui doivent le préciser restent à écrire. La note de recherche que l’INBi publie aujourd’hui établit ce qui s’applique déjà, ce qui arrive, et ce qui se joue.
Le risque est dans le silence du texte. Dans la version soumise à consultation, le standard de vigilance client ne contient aucune disposition visant les adresses auto-hébergées. Un silence assumé par l’AMLA, qui renvoie au règlement lui-même, jugé suffisamment précis. Mais ce régime, s’il existe déjà dans l’article 40, ne s’appliquera qu’en juillet 2027, et les critères concrets de son application, attendus des orientations de l’AMLA, ne sont pas encore écrits. Un renvoi vers des critères qui restent à écrire n’est pas une borne. Dans l’intervalle, chaque service conformité arbitre seul. Et l’arbitrage est biaisé : pour un prestataire, collecter trop peu l’expose à une sanction du superviseur ; collecter trop n’expose, en pratique, que ses clients. Le comportement rationnel devient : collecter plus, pour ne jamais avoir à expliquer pourquoi l’on a collecté moins.
Or ces données ne sont pas des données ordinaires. Associer une identité civile, une adresse et un historique de transactions, c’est constituer un fichier qui dit où vivent des personnes et ce qu’elles détiennent. Ces fichiers finissent par fuir — les précédents existent — et, une fois dans de mauvaises mains, ils servent à cibler physiquement des détenteurs et leurs proches. Chaque donnée collectée sans nécessité n’est pas un coût administratif : c’est un risque créé, durable, à la charge de personnes qui ne sont soupçonnées de rien.
Trois bornes suffiraient à maintenir l’approche graduée que les textes revendiquent, en inscrivant dans les textes d’application ou, a minima, dans la doctrine de supervision :
- Le recours à une adresse auto-hébergée appelle une évaluation ; il ne suffit pas, à lui seul, à justifier une collecte additionnelle ou une mesure renforcée.
- Lorsque le client est déjà identifié et que le contrôle de l’adresse est vérifié et documenté, le besoin d’identification est satisfait ; des informations supplémentaires ne se justifient qu’en présence d’un indice objectif de risque.
- L’absence de collecte additionnelle, dans un cas de faible risque documenté, ne doit pas être traitée comme une défaillance de vigilance.
Ces bornes ne créent aucun régime de faveur : les orientations de l’Autorité bancaire européenne admettent déjà la vérification documentée, l’inscription sur liste blanche, et le réexamen quand le risque ou le contrôle change.
La fenêtre décisive est devant nous : les orientations de l’article 40(2), attendues d’ici juillet 2027. L’INBi y portera la même ligne que dans sa contribution de mai à la consultation AMLA : pas d’exemption, mais pas de collecte par réflexe. Car, notre note d’avril le documentait déjà, collecter plus, c’est protéger moins.
La note de recherche est consultable ici.
Suivez-nous sur les réseaux
contact@inbi.fr | Politique de confidentialité