Conformité AML dans les systèmes ERP : connaissez votre client et surveillance des transactions

La conformité à la lutte contre le blanchiment d'argent (AML) n'est plus la préoccupation exclusive des banques et des institutions financières. Les entreprises de tous secteurs – des services professionnels et immobiliers aux produits de luxe, en passant par les échanges cryptographiques et toute entreprise traitant des volumes de paiements importants – sont confrontées à des obligations AML que leurs systèmes ERP doivent prendre en charge. Les normes du Groupe d'action financière (GAFI), mises en œuvre par le biais de législations nationales dans plus de 200 juridictions, créent un ensemble d'obligations qui touchent au traitement des paiements, à l'intégration des clients, à la surveillance des transactions, à la tenue de registres et au signalement des activités suspectes.

Les systèmes ERP constituent à la fois un risque AML et un contrôle AML. Ils traitent les paiements des clients, gèrent les comptes clients, gèrent les transactions des fournisseurs et génèrent les pistes financières examinées par les régulateurs. Configurer votre ERP pour prendre en charge la conformité AML — et éviter de devenir un véhicule de criminalité financière — nécessite de comprendre à la fois les obligations légales et les contrôles techniques.

Points clés à retenir

• Les obligations LBC s'appliquent à un large éventail d'entreprises non financières : agents immobiliers, comptables, avocats, négociants en biens de grande valeur, prestataires de services aux fiducies et aux entreprises.
• Connaître votre client (KYC) et Customer Due Diligence (CDD) sont fondamentaux : vérifiez l'identité du client avant d'établir une relation commerciale
• Une diligence raisonnable renforcée (EDD) est requise pour les clients à haut risque, notamment les PPE (personnes politiquement exposées), les juridictions à haut risque et les structures de propriété complexes.
• Le suivi des transactions doit détecter les schémas inhabituels : structuration, mouvements rapides de fonds, transactions incohérentes avec le profil client, pays de destination à haut risque
• Les rapports d'activités suspectes (SAR) doivent être déposés auprès des cellules de renseignement financier (CRF) nationales lorsqu'une activité suspecte est identifiée - le fait de dénoncer le sujet est une infraction pénale.
• Les 40 Recommandations du GAFI constituent la norme mondiale en matière de LBC ; les juridictions mettent en œuvre par le biais de la législation nationale
• Configuration ERP pour AML : classification des clients, contrôle des paiements, règles de transaction, pistes d'audit et intégration du workflow SAR
• Sanctions pour non-conformité : poursuites pénales, amendes substantielles (plus de 5 milliards de dollars pour les grandes banques), révocation de licence commerciale, destruction de réputation

---

Le cadre réglementaire AML

GAFI et les 40 recommandations

Le Groupe d'action financière (GAFI) est un organisme intergouvernemental qui établit des normes internationales pour prévenir le blanchiment d'argent, le financement du terrorisme et le financement de la prolifération. Ses 40 recommandations (dernière mise à jour en 2023) constituent la référence mondialement reconnue pour les programmes de LBC/FT (lutte contre le financement du terrorisme). Le GAFI mène des évaluations mutuelles des pays membres ; Les pays mal notés sont placés sur une liste grise ou sur une liste noire, ce qui affecte considérablement l’accès aux services financiers.

Principales recommandations du GAFI pour les entreprises :

• Recommandation 10 : Due Diligence Client (CDD)
• Recommandation 11 : Tenue des dossiers (5 ans minimum)
• Recommandation 12 : Exigences PEP
• Recommandation 13 : Correspondance bancaire
• Recommandation 14 : Services de transfert d'argent ou de valeur
• Recommandation 15 : Nouvelles technologies et actifs virtuels
• Recommandation 20 : Déclaration des transactions suspectes
• Recommandation 22 : Entreprises et professions non financières désignées (EPNFD)

Qui est soumis aux obligations LBC ?

Institutions financières : banques, établissements de crédit, prestataires de services de paiement, bureaux de change, maisons de titres, compagnies d'assurance, prestataires de services d'actifs cryptographiques (sous MiCA dans l'UE)

Entreprises et professions non financières désignées (EPNFD) :

• Agents immobiliers (pour acheter/vendre un bien immobilier)
• Avocats, notaires, comptables (lorsqu'ils sont impliqués dans des transactions financières, la création d'une société, des accords de fiducie)
• Prestataires de services de fiducie et d'entreprise (TCSP)
• Négociants en métaux et pierres précieux (transactions dépassant les seuils, généralement 10 000 $ USD ou 10 000 €)
• Casinos (y compris les casinos en ligne)

Biens de grande valeur : marchands d'art (transactions supérieures à 10 000 € dans l'UE), marchands de produits de luxe au-dessus des seuils, courtiers en yachts et en avions dans certaines juridictions

Prestataires de services d'actifs cryptographiques : en vertu de la recommandation 15 du GAFI et du MiCA de l'UE (règlement sur les marchés des actifs cryptographiques, pleinement applicable en décembre 2024), les bourses cryptographiques, les dépositaires et certaines plateformes DeFi ont toutes les obligations AML.

Alerte du secteur des entreprises : Les entreprises commerciales générales (ne faisant pas partie des catégories des EPNFD) n'ont généralement pas d'obligations de déclaration en matière de LBC basées sur le GAFI, mais nombre d'entre elles sont soumises à des exigences spécifiques au secteur (par exemple, les sociétés cotées sur des bourses réglementées, les entrepreneurs gouvernementaux) et toutes ont des obligations générales de déclaration des produits du crime dans la plupart des juridictions.

---

Connaissez votre client (KYC) et diligence raisonnable client (CDD)

Exigences CDD standard

Le CDD doit être effectué avant l’établissement d’une relation commerciale ou la réalisation d’opérations occasionnelles supérieures à des seuils. Le CDD standard comprend :

1. Identification du client : obtenez des informations d'identification — pour les particuliers : nom légal complet, date de naissance, nationalité, adresse résidentielle, numéro d'identité nationale ou numéro de passeport. Pour les personnes morales : dénomination sociale complète, forme juridique, juridiction de constitution, adresse du siège social, identité des administrateurs/bénéficiaires effectifs.

2. Vérification : Vérifiez les informations fournies auprès de sources fiables et indépendantes. Pour les particuliers : pièce d'identité avec photo émise par le gouvernement, factures de services publics pour l'adresse. Pour les personnes morales : documents d'immatriculation de la société, acte de constitution, statuts, registres officiels.

3. Propriété effective : identifiez et vérifiez les bénéficiaires effectifs ultimes (UBO) des entités juridiques – généralement des personnes physiques qui possèdent ou contrôlent 25 % ou plus de l'entité (certaines juridictions utilisent des seuils plus bas). Les structures de propriété complexes (trusts, prête-noms, véhicules offshore) nécessitent une traçabilité jusqu'au niveau de la personne physique.

4. Comprendre la relation commerciale : Comprendre la nature et l'objectif de la relation commerciale, ainsi que la source des fonds.

5. Surveillance continue : Surveiller la relation commerciale et les transactions de manière continue pour assurer la cohérence avec le profil client.

Due Diligence Renforcée (EDD)

EDD est requis pour les clients, les relations commerciales et les transactions à plus haut risque. Les déclencheurs incluent :

Personnes politiquement exposées (PPE) : hauts fonctionnaires du gouvernement, hauts dirigeants d'entreprises publiques, hauts responsables d'organisations internationales, hauts membres de partis politiques, ainsi que les membres de leur famille et leurs proches collaborateurs. Pour les PPE, l’EDD exige : l’approbation de la haute direction avant d’établir une relation ; établir la source de la richesse et des fonds ; une surveillance continue renforcée.

Juridictions à haut risque : pays figurant sur la liste grise ou la liste noire du GAFI, ou juridictions présentant d'importantes lacunes en matière de LBC. Les transactions impliquant des juridictions à haut risque nécessitent une EDD quels que soient les autres facteurs de risque.

Intégration sans face à face : risque plus élevé que la vérification en personne – utilisez une vérification améliorée (copies certifiées de documents, vérification vidéo, services de vérification d'identité électronique).

Structures de propriété complexes : structures d'entreprise à plusieurs niveaux, fiducies, accords de prête-nom — remontant à la personne physique UBO ; comprendre la logique de la structure.

Modèles de transactions inhabituels : clients dont les transactions ne correspondent pas à leur activité ou à leur profil de risque déclaré.

Due Diligence Simplifiée (SDD)

Pour les clients et les transactions à faible risque, le SDD peut être approprié – moins d’exigences d’identification ou une profondeur de vérification réduite. Le SDD ne peut pas être appliqué aux PPE ou aux juridictions à haut risque. Exemples : sociétés publiques établies cotées sur des marchés réglementés, ministères.

---

Configuration ERP pour KYC/CDD

Les systèmes ERP modernes peuvent être configurés pour prendre en charge les flux de travail KYC/CDD au sein du processus d'intégration des clients. Pour Odoo et plateformes similaires :

Champs de catégorisation des clients :

• Type de client (particulier/entreprise/gouvernement/institution financière)
• Numéro d'enregistrement de l'entité légale, pays, date de constitution
• Nom UBO, date de naissance, nationalité, pourcentage de propriété
• Statut PEP (Oui / Non / Associé proche)
• Évaluation du risque client (faible/moyen/élevé)
• Date d'achèvement du CDD et responsable de la révision
• Liste de contrôle des documents (pièce d'identité vérifiée, enregistrement de l'entreprise vérifié, UBO vérifié)
• Date de la prochaine révision (en fonction de l'évaluation du risque : risque élevé : annuel ; moyen : 2 ans ; faible : 3 ans)

Gestion des documents : associez les téléchargements de documents aux dossiers clients. Mettez en œuvre des alertes d’expiration pour les documents d’identité (passeports, permis) et les enregistrements d’entreprises.

Automatisation du flux de travail :

• La création d'un nouveau client déclenche la liste de contrôle CDD
• L'indicateur PEP déclenche le flux de travail EDD et la file d'attente d'approbation de la haute direction
• Le drapeau d'une juridiction à haut risque déclenche l'EDD
• Les alertes d'expiration de documents déclenchent la file d'attente de révision
• Rappels d'examen annuels générés automatiquement

Intégration de filtrage : l'ERP peut s'intégrer aux services de filtrage des sanctions (Refinitiv World-Check, Dow Jones Risk & Compliance, Comply Advantage) via l'API pour filtrer automatiquement les clients et les bénéficiaires effectifs en fonction de :

• Liste OFAC SDN (États-Unis)
• Liste consolidée des sanctions de l'UE
• Sanctions du Conseil de sécurité de l'ONU
• Bases de données PEP

---

Surveillance des transactions

La surveillance des transactions est l'examen systématique des transactions des clients pour détecter des modèles incompatibles avec le profil, l'activité ou le niveau de risque du client. Une surveillance efficace des transactions nécessite à la fois des alertes basées sur des règles et une détection des anomalies de plus en plus basée sur l'IA.

Indicateurs de transactions à haut risque (drapeaux rouges)

Structuration (Smurfing) : Diviser délibérément des transactions importantes en montants inférieurs aux seuils de déclaration. Drapeau rouge : plusieurs transactions juste en dessous de 10 000 $ (ou l’équivalent local) provenant du même client ou de parties liées.

Mouvement rapide des fonds : fonds reçus et immédiatement transférés — « superposition » – avec peu de temps sur le compte et sans objectif commercial apparent.

Transactions en nombre rond : un nombre inhabituel de transactions en chiffres ronds (exactement 50 000 $, 100 000 $) peut indiquer des paiements structurés.

Modèles géographiques à haut risque : Paiements vers ou depuis des juridictions figurant sur la liste noire/grisée du GAFI, des juridictions associées à des typologies criminelles spécifiques (paradis fiscaux, centres financiers offshore).

Transactions incompatibles avec le profil de l'entreprise : une entreprise de détail recevant des virements électroniques importants de contreparties étrangères ; un entrepreneur individuel recevant des paiements de centaines de personnes différentes.

Transactions à forte intensité de trésorerie : paiements en espèces importants (immobilier, biens de grande valeur) ; plusieurs dépôts en espèces ; un produit en espèces incompatible avec les revenus commerciaux déclarés.

Paiements à des tiers : Clients effectuant des paiements à des tiers non directement liés à la relation commerciale ; paiements de tiers inconnus pour le compte d'un client.

Demandes urgentes : pression pour terminer les transactions rapidement sans justification commerciale adéquate ; contourner les contrôles normaux en invoquant l’urgence.

Règles de surveillance des transactions ERP

Configurez les règles suivantes dans votre ERP ou système de surveillance des transactions :

Rule 1 — Structuring Alert:
TRIGGER if sum of transactions from a single customer within 24 hours
        approaches or exceeds reporting threshold (e.g., $9,500 aggregate)
TRIGGER if multiple transactions in 7 days total exceed 150% of customer's
        historical average transaction volume

Rule 2 — High-Risk Geography Alert:
TRIGGER if payment destination country is on FATF blacklist/greylist
TRIGGER if beneficial owner is resident in high-risk jurisdiction

Rule 3 — Unusual Volume Alert:
TRIGGER if single transaction exceeds 3× the customer's average transaction size
TRIGGER if monthly transaction volume exceeds 5× the historical 12-month average

Rule 4 — Rapid Movement Alert:
TRIGGER if funds received are transferred out within 48 hours
        and transfer exceeds 80% of received amount

Rule 5 — PEP/Sanctions Hit:
TRIGGER if customer or beneficial owner matches sanctions or PEP database
TRIGGER on name change or new beneficial owner addition

---

Rapports d'activités suspectes (SAR/STR)

Lorsqu’une alerte de surveillance de transaction fait l’objet d’une enquête et qu’une activité suspecte est confirmée – ou lorsqu’un employé identifie une activité suspecte – un rapport d’activité suspecte (SAR) ou un rapport de transaction suspecte (STR) doit être déposé auprès de la cellule nationale de renseignement financier (CRF).

Principales CRF par juridiction :

• États-Unis : FinCEN (Financial Crimes Enforcement Network) – SAR déposées via BSA e-Filing
• Royaume-Uni : National Crime Agency (NCA) – SARs déposées via SARs Online
• États membres de l'UE : chacun dispose d'une CRF nationale (par exemple, BaFin/CRF en Allemagne, TRACFIN en France, CSSF au Luxembourg)
• Australie : AUSTRAC — SAR via AUSTRAC Online
• EAU : Unité de lutte contre le blanchiment d'argent et les cas suspects (AMLSCU)

Règle essentielle : interdiction de dénonciation : une fois qu'une SAR a été déposée ou lorsqu'il existe des motifs raisonnables de déposer une SAR, vous ne devez pas dire à la personne concernée qu'une SAR a été déposée ou qu'elle fait l'objet d'une enquête. La dénonciation est une infraction pénale dans la plupart des juridictions. Ne contactez pas le client au sujet de l'activité suspecte ; ne gèlez pas les fonds évidents qui pourraient les alerter ; poursuivre ses activités normales pendant que le SAR est traité.

Contenu SAR :

• Description de l'activité suspecte
• Dates et montants des transactions
• Informations client (nom, identification, détails du compte)
• Description des raisons pour lesquelles l'activité est suspecte
• Toute activité suspecte antérieure
• Mesures prises (le cas échéant) – documenter toute décision commerciale de poursuivre ou de mettre fin à la relation

Conservation des dossiers : Conservez les dossiers SAR pendant au moins 5 ans. Ces dossiers sont souvent exigés par les régulateurs lors des inspections.

---

Exigences en matière de tenue de dossiers

La recommandation 11 du GAFI et la législation nationale de mise en œuvre exigent la conservation pendant au moins 5 ans :

• Dossiers d'identification et de vérification des clients (dès la fin de la relation commerciale)
• Enregistrements de transactions (à partir de la date de la transaction)
• Dossiers SAR et pièces justificatives

Configuration ERP pour la conservation des enregistrements :

• Ne pas autoriser la suppression des enregistrements d'identité des clients avant l'expiration de la période de conservation
• Archiver les comptes fermés avec les enregistrements conservés
• Calendrier de conservation automatisé : signaler les enregistrements pour archivage/examen après 5 ans
• Journal d'audit immuable des modifications apportées aux enregistrements clients
• Procédures de sauvegarde et de récupération couvrant les enregistrements AML

---

Évaluation des risques AML pour les entreprises

Toute entreprise soumise aux obligations AML doit réaliser et documenter une évaluation des risques AML couvrant :

1. Risque client : Qui sont vos clients ? Y a-t-il des risques (PPE, non-résidents, structures complexes) ?
2. Risque produit/service : quels produits/services comportent un risque de BC/FT plus élevé (acceptation d'espèces, transactions de grande valeur, portée mondiale) ?
3. Risque géographique : exercez-vous vos activités dans ou desservez-vous des juridictions à haut risque ?
4. Risque de transaction/canal de livraison : intégration en ligne, livraison hors face à face, intermédiaires

L'évaluation des risques détermine l'appétit pour le risque, les seuils CDD, les règles de surveillance des transactions et les déclencheurs EDD dans votre programme AML.

---

Liste de contrôle de conformité ERP AML

• Évaluation des obligations AML effectuée pour votre type d'entreprise et votre juridiction
• Politique et procédures AML écrites documentées
• Agent de signalement du blanchiment d'argent (MLRO) désigné
• Cadre de notation des risques client documenté (critères Faible/Moyen/Élevé) -[ ] Liste de contrôle KYC/CDD implémentée dans le workflow d'intégration des clients ERP
• Processus d'identification et de vérification UBO documenté
• Workflow EDD pour PPE, zones géographiques à haut risque, structures complexes
• Sanctions et dépistage PEP intégrés à la base de données clients
• Règles de surveillance des transactions configurées et testées
• Processus d'examen des alertes documenté (qui examine, escalade, calendrier)
• Processus de dépôt de demande d'information documenté (formulaire, instructions de dépôt, interdiction de dénonciation)
• Formation du personnel sur les obligations AML, les signaux d'alarme et le processus SAR
• Conservation des enregistrements configurée : 5 ans minimum pour les enregistrements CDD et de transactions -[ ] Évaluation annuelle des risques de LBC documentée
• Rapport annuel du MLRO à la haute direction terminé

---

Questions fréquemment posées

Mon activité habituelle doit-elle être conforme à la loi AML si nous ne sommes pas une banque ?

Cela dépend de votre type d’entreprise, de votre juridiction et de la nature de vos transactions. La recommandation 22 du GAFI applique les obligations de LBC à certaines EPNFD : agents immobiliers, comptables, avocats, PSST, négociants en métaux/pierres précieux et casinos. Si votre entreprise entre dans ces catégories, toutes les obligations AML s’appliquent. Dans le cas contraire, vous n’avez probablement pas d’obligation formelle de déclaration en matière de lutte contre le blanchiment d’argent, mais vous êtes néanmoins confronté à des lois générales sur les produits du crime qui interdisent de faciliter sciemment le blanchiment d’argent. Des secteurs spécifiques (crypto, jeux, services de paiement) sont soumis à des obligations supplémentaires en matière de LBC, quel que soit leur statut d'EPNFD.

Quel est le seuil pour déposer un rapport d'activité suspecte ?

Il n’y a pas de seuil monétaire pour le dépôt d’un SAR – l’obligation découle des soupçons et non de la taille de la transaction. Si vous savez ou soupçonnez, ou avez des motifs raisonnables de soupçonner, qu'un client ou ses fonds sont liés au blanchiment d'argent ou au financement du terrorisme, une déclaration de soupçon doit être déposée. De nombreuses juridictions ont des exigences distinctes en matière de déclaration des transactions (Currency Transaction Reports aux États-Unis pour les transactions en espèces supérieures à 10 000 $, par exemple) – celles-ci sont différentes des SAR et s'appliquent automatiquement sans exigence de suspicion.

Comment pouvons-nous filtrer les clients par rapport aux listes de sanctions ?

Les services de contrôle des sanctions fournissent des bases de données d'individus, d'entités et de pays sanctionnés et proposent une intégration API avec les systèmes d'entreprise. Les principaux fournisseurs incluent : Refinitiv World-Check, Dow Jones Risk & Compliance, LexisNexis, Comply Advantage, ComplyAdvantage. Ceux-ci peuvent être intégrés à votre ERP via l'API pour être examinés lors de l'intégration et de manière continue au fur et à mesure des mises à jour de la liste. Au minimum, examinez : la liste OFAC SDN (États-Unis), la liste consolidée des sanctions de l'UE, la liste consolidée du Conseil de sécurité de l'ONU et la liste des sanctions nationales de votre juridiction. Implémentez un processus clair pour gérer les hits : tous les hits ne sont pas de vraies correspondances (les faux positifs sont courants avec des noms similaires).

Que se passe-t-il si nous déposons une demande d'information et que nous nous trompons sur l'activité suspecte ?

Les déclarants SAR sont généralement protégés de toute responsabilité civile s’ils déposent leurs déclarations de bonne foi, même si l’activité signalée ne s’avère finalement pas être du blanchiment d’argent. La protection est forte dans la plupart des juridictions : la CRF enquêtera et déterminera s'il existe une activité criminelle. Il est toujours plus sûr de déposer une communication de bonne foi que de ne pas en déposer une lorsque vous avez de véritables soupçons. L'interdiction de donner des informations vous empêche d'informer le client que vous avez déposé une communication. Le dépôt délibéré de fausses DAS constitue une infraction distincte, mais les erreurs de bonne foi sont protégées.

Quelles sont les sanctions en cas de non-conformité AML pour les entreprises ?

Les sanctions varient considérablement selon la juridiction et la nature de la violation. Pour les institutions financières réglementées, les amendes sont énormes : HSBC a payé 1,9 milliard de dollars (2012), Goldman Sachs 2,9 milliards de dollars (2020), Commerzbank 1,45 milliard de dollars (2015) pour échecs en matière de lutte contre le blanchiment d’argent. Pour les EPNFD, les sanctions sont moindres mais significatives : le HMRC britannique a infligé des amendes aux agents immobiliers allant jusqu'à 800 000 £ pour échec en matière de LBC. Pour toutes les entreprises, les poursuites pénales pour blanchiment d’argent (en cas de violation des lois sur les produits du crime) peuvent entraîner une peine d’emprisonnement. Les atteintes à la réputation causées par les mesures d’application de la loi dépassent souvent les sanctions financières.

---

Prochaines étapes

Intégrer la conformité AML dans votre système ERP est un investissement qui protège votre entreprise contre la responsabilité en matière de criminalité financière, les sanctions réglementaires et les dommages à la réputation liés à l'identification comme véhicule de blanchiment d'argent. Le travail de configuration (classification des clients, intégration de filtrage, règles de surveillance des transactions, flux de travail SAR) rapporte bien au-delà de la conformité AML en améliorant la qualité des données client et la visibilité des transactions.

L'équipe de mise en œuvre Odoo d'ECOSIRE a de l'expérience dans la configuration de systèmes ERP avec des flux de travail prenant en charge la lutte contre le blanchiment d'argent, y compris la classification des risques client, la gestion des documents, la conception de règles de surveillance des transactions et la configuration des pistes d'audit.

Commencez : Services ECOSIRE Odoo

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les obligations en matière de LBC sont très spécifiques à chaque juridiction et évoluent régulièrement au fil des mises à jour du GAFI et des législations nationales. Consultez un conseiller juridique qualifié et un professionnel certifié en matière de conformité AML pour obtenir des conseils spécifiques à votre organisation.