Qu'est-ce que AML (Lutte contre le blanchiment d'argent)?

Comment ça fonctionne

L'AML repose sur trois niveaux, appliqués par chaque institution financière réglementée à chaque client et transaction :

1. Diligence raisonnable sur le client (CDD) — lors de l'intégration, l'institution collecte des documents d'identité, vérifie le bénéficiaire effectif, effectue des vérifications contre les listes de sanctions et de PEP (Personnes Politiquement Exposées), et évalue le risque. Une Diligence Renforcée (EDD) s'applique aux profils à haut risque. Voir KYC.
2. Surveillance continue des transactions — des systèmes automatisés analysent chaque transfert à la recherche d'indicateurs de risque : flux ronds, pics de volume soudains, contreparties dans des juridictions à haut risque, structuration (plusieurs transactions juste en dessous des seuils), modèles inhabituels par rapport à l'activité commerciale déclarée.
3. Rapport d'Activité Suspecte (SAR) — lorsqu'une transaction déclenche des seuils de risque et ne peut être expliquée de manière claire, l'institution dépose un SAR auprès de son Unité Nationale de Renseignement Financier (FinCEN aux États-Unis, TRACFIN en France, NCA au Royaume-Uni, AUSTRAC en Australie, etc.). Le client n'est pas informé (règles anti-prévention).

Le cadre international

Le Groupe d'Action Financière (GAFI) établit les normes mondiales AML / CFT (Lutte contre le Financement du Terrorisme) à travers 40 Recommandations. Les pays membres les mettent en œuvre par le biais de la législation nationale :

• UE : 6ème Directive AML (6AMLD, en vigueur depuis 2021), suivie par le Règlement AMLR + Autorité AMLA dans les réformes de 2024-2025.
• États-Unis : Loi sur le Secret Bancaire (1970) + Loi USA PATRIOT + Loi de Lutte contre le Blanchiment d'Argent de 2020 + réglementations de FinCEN.
• Royaume-Uni : Règlement sur le Blanchiment d'Argent 2017 (aligné post-Brexit avec le GAFI + héritage de la 5AMLD de l'UE).

Le GAFI maintient :

• Liste noire (juridictions à haut risque soumises à des contre-mesures) — comprend actuellement la Corée du Nord, l'Iran, le Myanmar.
• Liste grise (juridictions sous surveillance accrue) — varie d'année en année, comprend actuellement environ 25 pays.

Les transactions impliquant des juridictions de la liste noire/grise font face à une surveillance accrue automatique et à des rejets fréquents.

Ce qui déclenche les SAR

Modèles d'alerte AML courants :

• Montants ronds — transferts de 10 000 €, 25 000 € sans documentation commerciale.
• Structuration — plusieurs transferts juste en dessous des seuils de CTR (Rapport de Transaction en Espèces) (par exemple, transferts de 9 999 € pour éviter le reporting de 10 000 €).
• Décalage avec l'activité déclarée — votre KYC indique que vous êtes fondateur d'une SaaS, mais les flux ressemblent à une activité de trading de devises ou d'import/export.
• Modèles de passage — fonds entrant et sortant en quelques jours, sans but commercial apparent.
• Corridors à haut risque — paiements vers/depuis des juridictions de la liste grise du GAFI, individus ou entités sanctionnés.
• Ambiguïté sur le bénéficiaire effectif — structures à plusieurs niveaux avec une propriété ultime peu claire.

Comment maintenir un profil AML propre

Hygiène pratique pour les fondateurs transfrontaliers :

• Alignez les déclarations KYC sur les flux réels. Si votre entreprise évolue (produits, marchés, volumes de paiement différents), mettez à jour l'institution.
• Documentez les contreparties significatives — conservez les contrats, factures, KYC de vos plus grands clients et fournisseurs.
• Évitez les espèces — les dépôts/retraits en espèces non traçables sont des aimants à SAR.
• Évitez les transferts de montants ronds sans documentation claire. Les factures commerciales réelles ne sont que rarement rondes.
• Conservez les contrats pour tout transfert inhabituel — gros montants uniques, transferts vers de nouvelles juridictions, mouvements entre parties liées.
• Évitez les corridors de la liste grise/noire du GAFI sauf si commercialement essentiel et bien documenté.

Exemples

• Un fondateur de SaaS français reçoit un transfert de 25 000 € d'un nouveau client indonésien. Premier paiement, montant rond, corridor de risque moyen. La banque le signale. Le fondateur anticipe : il envoie un e-mail à la banque avec le contrat SaaS + la facture + des captures d'écran Stripe montrant la relation historique. La banque approuve, la transaction est validée.
• Un propriétaire de LLC américaine effectue des transferts hebdomadaires de 9 500 € de son compte personnel d'EMI de l'UE vers son compte personnel français. La surveillance de l'EMI signale une structuration (juste en dessous du seuil de 10 000 €). Compte gelé en attente d'examen. Les fonds sont restitués 60 jours plus tard ; le compte est fermé.

Erreurs courantes

• Traiter l'AML comme une formalité administrative. C'est l'épine dorsale opérationnelle de chaque relation financière. Les banques ferment les comptes plus rapidement qu'elles ne les ouvrent.
• Ne pas mettre à jour l'activité déclarée. Une entreprise qui est passée de 10 000 €/mois à 500 000 €/mois avec la même déclaration KYC est automatiquement signalée comme à risque.
• Concentrer la dépendance bancaire. Une seule fermeture AML peut faire tomber l'ensemble de l'opération. Maintenez au moins 2 comptes actifs chez différents fournisseurs.
• Croire que la crypto est exemptée. Le MiCA de l'UE + l'application de l'AML aux États-Unis couvre désormais les échanges de crypto-monnaies, les fournisseurs de garde, et (de plus en plus) les opérateurs de portefeuilles auto-gérés avec des obligations AML similaires.