Un rachat anticipé, un versement disproportionné, un changement de bénéficiaire tardif : ces situations arrivent tous les jours dans les portefeuilles assurance. Et c’est précisément là, pas dans les procédures, pas dans les cartographies, que se jouent les contrôles ACPR.
Les sanctions publiées ces dernières années le montrent : ce qui manque n’est pas le dispositif LCB-FT, c’est la capacité à démontrer, dossier par dossier, que les décisions prises étaient cohérentes, justifiées et traçables.
Ces situations ont en assurance des spécificités que les autres secteurs n’ont pas : bénéficiaire distinct du souscripteur, tierce-introduction, contrats de capitalisation, multiplicité des intervenants. Ce guide les traite directement, à partir des sanctions ACPR et des difficultés opérationnelles constatées en pratique.
Pourquoi l’assurance est un secteur à risque LCB-FT
L’assurance constitue un vecteur de blanchiment à part entière. Les produits d’assurance permettent de faire entrer des fonds dans le système financier, de les faire circuler et d’en faire ressortir des flux apparemment légitimes au travers d’opérations ordinaires de la vie d’un contrat : versement de primes, rachat, arbitrage, indemnisation, changement de bénéficiaire.
La difficulté, en matière de LCB-FT, tient précisément au fait que ces opérations sont le plus souvent juridiquement et économiquement plausibles. Un rachat partiel, un versement complémentaire ou une modification de clause bénéficiaire peuvent relever d’une gestion patrimoniale normale. Le risque apparaît lorsque l’opération devient incohérente avec le profil client, l’origine des fonds, la chronologie du contrat ou les informations détenues sur la relation d’affaires.
Cette difficulté est renforcée par la temporalité longue des produits d’assurance vie et de capitalisation. Entre la souscription et le dénouement d’un contrat, la situation patrimoniale du client peut évoluer, un bénéficiaire peut être modifié, un statut PPE peut apparaître ou une structure juridique devenir plus opaque. La connaissance client ne peut donc pas rester figée à l’entrée en relation.
Enfin, la distribution en assurance repose fréquemment sur plusieurs intervenants (assureur, courtier, intermédiaire) qui détiennent chacun une partie de l’information. Le risque opérationnel apparaît lorsque cette fragmentation empêche d’avoir une vision consolidée du dossier ou retarde la remontée d’une information sensible.
Les vecteurs de risque spécifiques à l’assurance
Tracfin l’a documenté dans sa lettre n°19 dédiée à l’assurance (juin 2021) : les schémas exploitent les fonctionnalités normales des contrats pour donner aux flux une apparence légitime.
En assurance vie et en capitalisation, plusieurs mécanismes reviennent de façon récurrente :
- versements importants sans cohérence avec le profil patrimonial déclaré ;
- rachats rapides après souscription, notamment lorsque le client accepte des pénalités économiques significatives ;
- désignation ou modification tardive du bénéficiaire ;
- cession du contrat à un tiers sans logique patrimoniale identifiable ;
- utilisation de structures juridiques complexes (SCI, holdings, trusts) rendant difficile l’identification du bénéficiaire effectif.
Pris isolément, chacun de ces actes peut être parfaitement légitime. Le risque apparaît lorsque leur combinaison, leur chronologie ou leur incohérence avec la connaissance client rendent l’opération difficilement explicable économiquement.
En assurance non-vie, les mécanismes sont différents. Le risque porte davantage sur l’utilisation du contrat ou du sinistre comme support de réintroduction de fonds dans le circuit légal :
- surfacturation organisée de réparations ;
- sinistres frauduleux ;
- indemnisation versée vers un compte tiers sans lien clair avec le bénéficiaire du contrat ;
- garanties souscrites pour des montants disproportionnés par rapport au bien assuré.
Dans les deux cas, la difficulté opérationnelle est la même : les opérations concernées relèvent souvent de l’usage normal du produit. La détection repose donc moins sur l’opération elle-même que sur sa cohérence avec le profil du client, l’origine des fonds, le comportement habituel observé sur le contrat et les informations détenues par l’organisme.
Assurance vie vs non-vie : des risques de nature différente
Le niveau d’exposition au risque LCB-FT n’est pas le même selon le type de produit distribué. La distinction n’est pas théorique : elle conditionne directement le niveau de vigilance applicable et la nature des alertes à surveiller.
Assurance non-vie, cas concret : un assuré déclare un sinistre automobile avec un devis de réparation manifestement disproportionné par rapport à la valeur du véhicule assuré. L’indemnisation est orientée vers un compte bancaire sans lien avec l’assuré. Le schéma, surfacturation organisée avec le prestataire, sert à réintroduire des fonds dans le circuit légal.
Le cadre réglementaire LCB-FT applicable à l’assurance
Le dispositif combine quatre couches normatives :
- le Code monétaire et financier (CMF) pour les obligations de fond
- le code des assurances pour les spécificités produit
- l’arrêté du 6 janvier 2021 pour l’organisation interne
- et le paquet européen 2024 (AMLR, AMLD6, AMLA) applicable au 10 juillet 2027.
Maîtriser leur articulation conditionne directement la capacité à justifier les choix dossier par dossier en contrôle.
Code monétaire et financier : les textes structurants
Le Livre V Titre VI du CMF constitue le socle.
Pour les assureurs et courtiers, quatre groupes d’articles structurent l’obligation :
- Périmètre et identification : L561-2 (assujettis), L561-5 et L561-5-1 (identification du client, du BE et de la relation d’affaires), L561-6 (vigilance constante tout au long du contrat).
- Régimes de vigilance : L561-9 (simplifiée), L561-10 (complémentaire structurelle : PPE, pays à risque, relation à distance), L561-10-1 (renforcée générale quand le risque paraît élevé), L561-10-2 (examen renforcé sur opération atypique).
- Déclaration et protection : L561-15 (Déclaration de soupçon à Tracfin), L561-22 (immunité juridique du déclarant de bonne foi).
- Gel des avoirs : L562-1 et suivants (obligation de résultat, sans appréciation de proportionnalité).
Trois distinctions à protéger en pratique :
- Vigilance complémentaire (L561-10, structurelle) ≠ vigilance renforcée (L561-10-1, sur risque élevé global) ≠ examen renforcé (L561-10-2, ponctuel sur opération atypique). Ces régimes peuvent coexister.
- L’examen renforcé est une analyse documentée, pas une déclaration : s’il lève le doute, conservation des justificatifs ; s’il persiste, déclaration de soupçon obligatoire.
- L’obligation de déclaration de soupçon naît dès le soupçon, sans examen renforcé préalable obligatoire.
Le code des assurances et l’article R.561-20-3
L’article R.561-20-3 CMF impose à l’assureur, lorsque le bénéficiaire d’un contrat d’assurance-vie ou de capitalisation (ou son BE) est une PPE, deux obligations cumulatives : détecter la PPE par procédure dédiée, et informer un membre de l’organe exécutif avant tout versement de prestation ou cession du contrat.
Cette singularité française traite une caractéristique propre aux contrats vie : la dissociation entre souscripteur, BE du souscripteur, et bénéficiaire désigné. Un souscripteur non-PPE peut désigner un bénéficiaire PPE (conjoint, parent, enfant). Le dispositif doit couvrir les trois périmètres distincts. Les orientations EBA/GL/2021/02 (§14.21) précisent que si la PPE est désignée dès la souscription, la vigilance renforcée s’enclenche immédiatement, sans attendre le versement.
En contrôle, l’ACPR vérifie deux points concrets : la couverture du paramétrage de l’outil de filtrage PPE (un outil paramétré sur listes étrangères et incapable de détecter des PPE françaises constitue un manquement structurel, déjà sanctionné), et la traçabilité de l’information de l’organe exécutif (décision datée, signée par une personne formellement habilitée, conservée au dossier).
L’arrêté du 6 janvier 2021 : dispositif et contrôle interne
L’arrêté du 6 janvier 2021 (en vigueur depuis le 1er mars 2021) constitue le texte d’organisation interne du dispositif LCB-FT pour le secteur financier, assurance et courtiers compris. Il a remplacé l’arrêté du 3 novembre 2014 et harmonise les règles applicables à l’ensemble du secteur.
Les obligations structurantes :
- Art. 2 : classification des risques documentée, mise à jour régulièrement, intégrant les sources externes (Tracfin, ministre de l’économie, UE, GAFI, OCDE) et nationales (ANR du COLB, ASR ACPR).
- Art. 3 et 6 : responsable LCB-FT formellement désigné, modalités de vigilance différenciées par profil (cumul possible avec dirigeant pour les petits courtiers).
- Art. 8 : tierce-introduction, contrôle explicite de l’assureur sur la qualité des informations transmises par le courtier.
- Art. 10 : externalisation possible (intra-groupe ou mandataire) mais les obligations déclaratives à Tracfin restent personnelles. Contrat obligatoire avec accès ACPR.
- Art. 20 à 24 : contrôle interne. Contrôle permanent de 1er niveau obligatoire pour tous ; 2e niveau et contrôle périodique adaptés à la taille et au risque.
L’arrêté est le texte de référence pour interpréter les obligations d’organisation interne : c’est l’articulation entre le CMF (le quoi) et l’arrêté (le comment) qui structure l’argumentation en contrôle.
L’horizon 2027 : AMLR, AMLD6 et l’AMLA
Le paquet européen 2024 modifie en profondeur le cadre. Le règlement (UE) 2024/1624 (AMLR), applicable au 10 juillet 2027, est le premier règlement LCB-FT directement applicable sans transposition. Il harmonise l’identification, la vigilance complémentaire et renforcée (Art. 34 à 46), la vigilance simplifiée (Art. 33), et le seuil BE 25 %. L’Article 53 pose une position anti-de-risking explicite : refuser une relation au seul motif d’un facteur de risque ne suffit pas, l’évaluation doit être individuelle.
La directive (UE) 2024/1640 (AMLD6), à transposer pour le 10 juillet 2027, traite l’architecture institutionnelle (superviseurs, registres BE, sanctions). Pour les assureurs : accès aux registres BE européens et obligation de signaler les divergences entre informations détenues et registre.
L’AMLA (autorité européenne, basée à Francfort, opérationnelle depuis juin 2024) exercera une supervision directe à partir de juillet 2028 sur une quarantaine d’entités financières transfrontalières à risque élevé. Pour les groupes d’assurance européens, l’éligibilité dépendra de critères de taille, de risque et de présence transfrontalière. À anticiper d’ici 2027 : cartographier les écarts avec l’AMLR, intégrer les obligations de signalement de divergences BE, évaluer l’éligibilité au régime AMLA. À noter : l’AMLR ne reprend pas la terminologie française (complémentaire / renforcée / examen renforcé), elle parle d’enhanced due diligence sur un périmètre plus large.
Les piliers du dispositif LCB-FT en assurance
Cartographie des risques, vigilance, filtrage, surveillance des opérations, déclarations à Tracfin, gouvernance interne : chaque brique a ses spécificités sectorielles, et c’est précisément là que se jouent les contrôles ACPR.
Cartographie et classification des risques
C’est le point de départ du dispositif. L’ACPR a sanctionné à plusieurs reprises des dispositifs dont la classification des risques n’était pas adaptée à la clientèle effective : seuils fixes sans rapport avec le montant moyen client, absence de prise en compte de catégories particulièrement exposées, classification confondue avec une simple énumération.
En assurance, la cartographie doit intégrer des critères qui lui sont propres : type de produit (vie, non-vie, capitalisation), canal de distribution (direct, courtier, tierce-introduction), profil client (personne physique, personne morale, PPE, pays d’origine des fonds), montant des primes.
Elle doit évoluer avec le portefeuille : un nouveau produit, un nouveau canal de distribution, une évolution de la clientèle appellent une mise à jour. C’est ce caractère dynamique que l’ACPR vérifie.
Si vous souhaitez avoir un aperçu de la construction d’une classification/cartographie des risques LCB-FT pour l’assurance, nous avons construit un modèle que vous pouvez télécharger.
Connaissance client : actualisation continue et non figée à l’entrée en relation
L’obligation de connaissance client (L561-5-1 CMF) est une obligation continue, pas une diligence d’entrée en relation. Elle peut faire l’objet d’un grief autonome en contrôle ACPR : une décision de 2023 contre un assureur vie a retenu 35 dossiers sur 38 présentant une mise à jour insuffisante, indépendamment des griefs sur la vigilance ou la détection PPE.
En pratique, l’actualisation se déclenche sur événement identifiable (changement de situation patrimoniale, modification de résidence fiscale, désignation de nouveau bénéficiaire, opération atypique, alerte externe) ou par revues périodiques proportionnées au profil de risque. Le dispositif doit produire, dossier par dossier, la trace des actualisations : date, motif, élément intégré, conséquence sur le risque.
C’est aussi la condition d’efficacité de la surveillance des opérations : un dispositif qui ne maintient pas la connaissance client à jour ne peut pas évaluer la cohérence d’une opération avec un profil obsolète. L’articulation entre L561-5-1 et L561-6 est explicitement examinée par l’ACPR.
Obligations de vigilance : simplifiée, standard, complémentaire et renforcée
Les niveaux de vigilance ont leurs spécificités en assurance, et les conditions d’application de chacun méritent d’être posées clairement.
Quatre régimes coexistent en droit français :
La vigilance simplifiée (L561-9 et R561-14) allège l’intensité des diligences lorsque le risque paraît faible, sans supprimer l’identification ni la vigilance constante. La vigilance standard s’applique par défaut.
La vigilance standard s’applique lorsque les conditions de la simplifiée ne sont pas réunies et qu’aucun facteur de risque élevé n’impose une vigilance renforcée.
La vigilance complémentaire (L561-10) est déclenchée structurellement par le profil (PPE, pays à risque, relation à distance, contrat au porteur).
La vigilance renforcée (L561-10-1) est déclenchée par un risque global élevé. L’examen renforcé (L561-10-2) est ponctuel sur opération atypique. Ces régimes peuvent se cumuler.
La vigilance simplifiée est applicable sous conditions strictes en non-vie (produits standard, primes annuelles inférieures aux seuils réglementaires, absence de valeur de rachat). L’article R.561-16 CMF liste explicitement les produits qualifiants : assurance vie/capitalisation à prime annuelle <1 000 € ou prime unique <2 500 €, non-vie standard, retraite sans rachat, emprunteur. La présence d’un soupçon annule le bénéfice de la vigilance simplifiée, même si toutes les conditions sont réunies.
La présence d’une PPE impose des mesures de vigilance complémentaire (L561-10 + R.561-20-2). En assurance, le bénéficiaire du contrat peut être PPE sans que le souscripteur le soit (R.561-20-3 CMF). L’assureur doit identifier le bénéficiaire dès la souscription quand il est nommément désigné, ou au plus tard au moment du versement. Un outil de filtrage paramétré sur listes étrangères et incapable de détecter des PPE françaises a déjà été sanctionné par la Commission des sanctions de l’ACPR.
Le niveau de vigilance retenu doit pouvoir être justifié dossier par dossier. L’ACPR ne vérifie pas seulement qu’un niveau a été attribué, mais que les diligences réalisées sont cohérentes avec le risque effectivement identifié et avec les informations disponibles.
Une vigilance renforcée qui ne conduit pas à approfondir réellement l’analyse (origine des fonds, cohérence patrimoniale, justification économique) reste uniquement formelle. La jurisprudence Delubac 2025 a précisé qu’une « vigilance renforcée temporaire » appliquée sans analyse documentée ne satisfait pas l’obligation : la vigilance renforcée doit être déclenchée pour une raison tracée et levée pour une raison tracée. Une vigilance renforcée partielle sur certains comptes seulement constitue également un manquement.
À retenir :
La vigilance complémentaire, la vigilance renforcée et l’examen renforcé répondent à des logiques différentes et peuvent se cumuler. L’ACPR ne vérifie pas uniquement qu’un niveau de vigilance a été attribué, mais que les diligences réalisées sont cohérentes avec les risques effectivement identifiés.
Filtrage : sanctions, PPE et médias défavorables
Le dispositif de filtrage constitue l’un des outils centraux de la vigilance en assurance. Il doit permettre d’identifier, à l’entrée en relation puis au cours de la vie du contrat, les situations susceptibles d’imposer :
- une mesure de gel des avoirs ;
- une vigilance complémentaire ou renforcée ;
- ou une réévaluation du niveau de risque.
En pratique, les dispositifs couvrent généralement les listes de sanctions, les personnes politiquement exposées (PPE) et, selon l’approche par les risques retenue, les informations défavorables accessibles publiquement.
En assurance vie, le périmètre de vigilance est plus large qu’ailleurs : il couvre le souscripteur, le bénéficiaire effectif et le bénéficiaire du contrat. Trois périmètres distincts, qui doivent chacun être pris en compte dans le dispositif de vigilance et de filtrage.
Sur le gel des avoirs, la règle est absolue (L562-1 CMF) : toute opération impliquant une personne sur les listes consolidées est interdite, sans appréciation de proportionnalité. L’ordonnance du 4 novembre 2020 (L562-4 et L562-5 CMF) a étendu l’obligation aux courtiers même sans réception de fonds. L’assurance non-vie elle-même est qualifiée de « ressource économique », plaçant les contrats non-vie dans le périmètre.
Sur les PPE, la difficulté opérationnelle est connue : il n’existe pas de liste exhaustive. Les bases commerciales couvrent une partie du périmètre R.561-18 CMF, pas l’intégralité, notamment sur l’entourage. L’absence de correspondance dans une base PPE ne dispense pas d’une analyse adaptée lorsque certains éléments (fonctions exercées, exposition géographique, structure relationnelle) justifient des diligences complémentaires.
À retenir :
En assurance-vie, le dispositif de vigilance ne porte pas uniquement sur le souscripteur. Le bénéficiaire effectif et le bénéficiaire du contrat doivent également être pris en compte. Un bénéficiaire PPE peut ainsi déclencher des obligations spécifiques alors même que le souscripteur ne présente aucun facteur de risque particulier.
Le paramétrage des outils de filtrage doit couvrir le périmètre réglementaire applicable. Une décision ACPR de 2023 a sanctionné un assureur vie dont l’outil était paramétré sur listes UK et US, n’ayant pas détecté 13 clients devenus PPE françaises. Le paramétrage hérité d’un fournisseur ne dégage pas la responsabilité de l’établissement.
Surveillance des opérations et détection des transactions atypiques
L’obligation de vigilance constante (art. R.561-12-1 CMF) impose de surveiller la cohérence des opérations avec la connaissance client actualisée. En assurance, cela se traduit par des signaux d’alerte qui sont propres au secteur.
En assurance vie et capitalisation : rachat anticipé dans les deux ans suivant la souscription, versements disproportionnés par rapport au patrimoine déclaré, changement de bénéficiaire fréquent ou tardif, cession de contrat à un tiers sans lien apparent, arbitrages massifs sans logique financière.
En assurance non-vie : sinistres multiples sur une courte période, devis de réparation disproportionnés, indemnisations orientées vers des comptes tiers sans lien avec le sinistre, souscription de garanties anormalement élevées par rapport au bien assuré.
Ce qui compte, c’est la cohérence globale du dossier. Un rachat anticipé sur un client stable n’a pas le même poids qu’un rachat trois mois après un versement en espèces inhabituel. La surveillance des opérations n’est efficace qu’à condition que la connaissance client soit maintenue à jour, pas figée à la photo prise à l’entrée en relation.
Position ACPR constante depuis 2015 (Generali Vie, Crédit Mutuel Nord Europe 2018, AXA Banque 2023) : les scénarios de détection automatisée doivent intégrer le revenu et le patrimoine comme éléments essentiels. Un dispositif appliquant les mêmes seuils à un client à 2 000 €/mois et à un client à 500 000 € d’épargne ne satisfait pas l’obligation. La désactivation d’un scénario clé (par exemple détection des rachats précoces) sans remplacement constitue un manquement dès la date de désactivation.
L’examen renforcé : de l’alerte au dossier documenté
L’examen renforcé se déclenche dès qu’une opération remplit l’un des quatre critères de l’art. L561-10-2 : complexité particulière, montant inhabituellement élevé, absence de justification économique apparente, objet licite incertain. En assurance, ces critères se matérialisent concrètement : un rachat total trois mois après versement, un versement disproportionné par rapport au patrimoine déclaré, une cession de contrat à un tiers sans lien apparent.
L’examen renforcé n’est pas une simple demande de justificatif. C’est une analyse documentée qui doit répondre à quatre questions :
- Quelle est l’origine des fonds ?
- Quelle est leur destination ?
- Quel est l’objet de l’opération ?
- Qui en bénéficie réellement ?
Les éléments recueillis et leur analyse doivent être tracés dans le dossier, de façon à pouvoir être présentés tels quels à un contrôleur.
Deux erreurs reviennent en contrôle :
La première : déclencher l’examen renforcé sans le documenter. La consignation par écrit est une obligation décrétale (R.561-22 CMF) et la conservation court 5 ans à compter de l’exécution (L561-12 CMF), pas de la clôture de la relation.
La seconde : collecter des justificatifs sans les analyser. Les lignes directrices ACPR/Tracfin (mises à jour 2025) précisent que ne suffisent pas, à eux seuls, une attestation sur l’honneur, une attestation d’expert-comptable sans précision sur l’origine, une attestation CGP, ou un relevé bancaire sans contexte économique. Si les justificatifs ne couvrent pas l’essentiel, déclaration de soupçon à Tracfin sur le fondement du III de L561-15.
L’objectif n’est pas uniquement de collecter des pièces, mais de parvenir à une position analytique documentée. En pratique, un dossier d’examen renforcé doit pouvoir être relu plusieurs mois plus tard par un tiers (contrôle interne, audit, ACPR) sans nécessiter de reconstitution orale.
La jurisprudence ACPR a précisé un point critique : un dispositif qui ne prévoit jamais, quelles que soient les circonstances, de demander des pièces justificatives constitue un manquement structurel. La conception même du dispositif est en cause, sans qu’il soit besoin d’examiner les cas individuels. La ligne de partage entre vigilance simplifiée (déclaratif suffit) et examen renforcé (corroboration documentaire si nécessaire) n’est pas négociable.
Lorsque les diligences réalisées ne permettent pas d’écarter raisonnablement l’hypothèse d’une opération liée au blanchiment ou au financement du terrorisme, le doute prend la forme d’un soupçon au sens de l’art. L561-15 CMF et doit conduire à une déclaration à Tracfin.
À retenir :
L’examen renforcé n’est pas une collecte de justificatifs. C’est une analyse documentée destinée à comprendre l’origine des fonds, leur destination, l’objet de l’opération et les personnes qui en bénéficient réellement. Sans analyse formalisée, l’examen renforcé n’existe pas aux yeux du contrôleur.
Déclaration de soupçon et relations avec Tracfin
L’obligation déclarative (art. L561-15 CMF) est non négociable, et Tracfin est explicite sur ce qu’il attend : pas une simple mention d’opération atypique, mais un raisonnement documenté. Pourquoi l’opération est incohérente avec le profil client, quels éléments ont conduit à l’alerte, quelle est la chronologie des faits, quelles diligences ont été réalisées et pourquoi elles n’ont pas permis d’écarter le doute.
En assurance vie, une déclaration de soupçon efficace suit une logique narrative précise : elle reconstitue la chronologie du dossier, identifie le moment où l’opération devient incohérente avec les informations détenues sur le client, et explique pourquoi les éléments recueillis ne permettent pas de considérer l’opération comme économiquement cohérente. Le schéma type : profil client à l’entrée en relation, description de l’opération déclenchante, signaux contextuels associés, diligences menées, analyse, conclusion. Une déclaration de soupçon qui se contente de décrire l’opération sans expliquer en quoi elle est suspecte au regard du dossier client reste difficilement exploitable par Tracfin.
En complément des déclarations de soupçon, il existe un dispositif de communication systématique d’informations (COSI) à Tracfin, déclenché par des critères objectifs indépendamment de tout soupçon. En assurance, son impact opérationnel direct reste limité.
Trois précisions structurantes issues de la jurisprudence ACPR récente :
- Le délai de déclaration court à compter de la date d’apparition du soupçon, pas de l’alerte automatique : laisser une alerte non analysée pendant plusieurs semaines ne reporte pas le délai.
- Déclaration de soupçon tardive et absente constituent deux griefs distincts : tardive = défaut d’exécution, absente = défaut de processus de décision (jurisprudence AXA Banque 2023).
- Une première déclaration de soupçon n’épuise pas l’obligation : de nouvelles opérations de même nature appellent une déclaration complémentaire (L561-15 V).
Un point pratique crée régulièrement des difficultés en assurance : les obligations déclaratives ne peuvent pas être externalisées, y compris dans le cadre d’une organisation en tierce-introduction. Le correspondant Tracfin doit être désigné en interne, ses coordonnées transmises à Tracfin, et les déclarations effectuées sous sa responsabilité.
La déclaration de soupçon ne suppose ni la preuve d’une infraction ni la certitude du caractère illicite des fonds. Elle repose sur une appréciation raisonnable des incohérences constatées, des diligences réalisées et de l’impossibilité d’écarter le doute dans des conditions compatibles avec les obligations de vigilance.
Contrôle interne et gouvernance LCB-FT
Le dispositif de contrôle interne doit être adapté à la taille, à la nature et au volume des activités. En pratique, cela implique au minimum un contrôle permanent de premier niveau réalisé par les opérationnels. Selon la taille de la structure et le niveau de risque identifié, s’y ajoutent un contrôle permanent de second niveau assuré par des fonctions dédiées au contrôle, ainsi qu’un contrôle périodique indépendant.
Deux fonctions sont obligatoires : un responsable de la mise en œuvre du dispositif LCB-FT, chargé notamment de la validation de la classification des risques et des procédures, et un correspondant Tracfin. Pour les structures de petite taille, l’arrêté du 6 janvier 2021 permet au dirigeant de cumuler ces deux fonctions, à condition que la nature de l’activité et des risques le justifie.
En pratique, l’efficacité du dispositif dépend moins de l’existence formelle des contrôles que de leur capacité à produire des remontées exploitables et à remettre en cause les décisions opérationnelles lorsque cela est nécessaire. Un contrôle de second niveau qui valide systématiquement les analyses de premier niveau sans revue critique réelle perd une grande partie de sa valeur.
L’ACPR examine également la circulation de l’information sensible dans l’organisation : modalités d’escalade des alertes, traçabilité des arbitrages, implication de la fonction conformité dans les dossiers sensibles et capacité du dispositif à traiter les situations à risque dans des délais compatibles avec les obligations de vigilance.
La formation des personnes participant à la mise en œuvre du dispositif LCB-FT est obligatoire. En contrôle, l’ACPR vérifie non seulement l’existence d’un programme de formation, mais aussi la capacité concrète des équipes à appliquer les procédures, qualifier les alertes et documenter leurs analyses de manière exploitable.
Cinq cas opérationnels concrets : du signal à la trace
Les sanctions ACPR ne portent pas sur l’absence de dispositif.
Elles portent sur l’incapacité à reproduire, dossier par dossier, la chaîne signal → diligence → décision → trace.
Cinq scénarios fréquents, avec la trace que l’ACPR vérifie en contrôle :
Cas n°1 : Versement disproportionné suivi d’un rachat anticipé
Scénario : un souscripteur effectue un versement de 150 000 € sur un contrat de capitalisation, puis demande un rachat total trois mois plus tard vers un compte tiers. Le client accepte les pénalités de rachat sans les négocier.
Signaux à détecter : versement supérieur de 3x au patrimoine déclaré ; délai rachat/versement <6 mois ; destinataire du rachat ≠ souscripteur ; acceptation des pénalités sans négociation.
Diligences à conduire (L561-10-2 CMF) : déclencher l’examen renforcé dès le faisceau de signaux ; interroger le client sur l’origine des fonds et la destination du rachat ; demander des justificatifs probants (acte notarié, déclaration de succession, justificatif de cession) ; si insuffisants ou refus, déclaration de soupçon à Tracfin (L561-15 III).
Trace à conserver : note d’examen renforcé datée et signée (questions posées, réponses, justificatifs reçus, analyse) ; décision motivée ; conservation 5 ans à compter de l’exécution (R.561-22 et L561-12 CMF).
Point de contrôle ACPR : traçabilité datée de l’examen, qualité des justificatifs, motivation de la décision. Un examen sans demande de justificatifs ou sans note de décision est un manquement, même sans blanchiment effectif.
Cas n°2 : Bénéficiaire désigné comme « mes héritiers légaux »
Scénario : un contrat d’assurance-vie ouvert il y a dix ans est désigné au profit de « mes héritiers légaux », sans nom. Le contrat arrive à dénouement par décès du souscripteur.
Signaux à anticiper : la clause générique reporte l’identification au dénouement ; chaque héritier doit être identifié individuellement ; un héritier peut être PPE ou sur liste sanctions sans que le souscripteur l’ait jamais été.
Diligences à conduire : identifier chaque héritier (R561-5 CMF) avec état civil et justificatif ; filtrer chaque héritier contre sanctions et PPE ; si PPE, informer l’organe exécutif avant tout versement (R.561-20-3 CMF) ; vérifier la cohérence des coordonnées bancaires.
Trace à conserver : procédure documentée de traitement du dénouement avec dévolution successorale ; filtrage daté de chaque héritier ; décision motivée pour chaque versement, en particulier en présence d’une PPE.
Point de contrôle ACPR : procédure de dénouement, filtrage effectif de chaque héritier, trace d’information de l’organe exécutif en présence d’une PPE. Un dispositif qui ne filtre que le souscripteur initial couvre une partie du périmètre, pas l’intégralité.
Cas n°3 : Souscripteur non-PPE, bénéficiaire désigné PPE
Scénario : un dirigeant d’entreprise souscrit un contrat d’assurance-vie de 80 000 € au bénéfice de son fils, ministre du gouvernement français. Le souscripteur n’est pas PPE ; le bénéficiaire, lui, est PPE par fonction politique nationale (R.561-18 1° CMF).
Signaux à détecter : bénéficiaire désigné nominativement à la souscription ; lien familial PPE identifiable par rapprochement état civil ; cohérence du patrimoine du souscripteur avec le montant versé.
Diligences à conduire (R.561-20-3 CMF + EBA/GL/2021/02 §14.21) : filtrer le bénéficiaire dès la souscription, pas seulement le souscripteur ; enclencher la vigilance complémentaire R561-20-2 immédiatement, sans attendre le versement ; informer l’organe exécutif de la souscription ; documenter l’origine du patrimoine du souscripteur.
Trace à conserver : note de filtrage bénéficiaire datée ; décision documentée de l’organe exécutif ; analyse de cohérence patrimoniale.
Point de contrôle ACPR : couverture du paramétrage (souscripteur ET bénéficiaire), traçabilité de la décision de l’organe exécutif, analyse patrimoniale documentée. Une décision ACPR de 2023 a sanctionné un assureur dont l’outil de filtrage paramétré sur listes étrangères n’avait pas détecté 13 PPE françaises.
Cas n°4 : Sinistre IARD avec indemnisation vers compte tiers
Scénario : un assuré déclare un sinistre automobile avec un devis de réparation de 22 000 € sur un véhicule d’une valeur Argus de 8 000 €. L’indemnisation est demandée vers un compte d’un tiers, sans lien apparent avec l’assuré.
Signaux à détecter : devis disproportionné par rapport à la valeur du bien ; compte de destination ≠ compte habituel ; tiers destinataire sans lien justifié (ni réparateur agréé, ni ayant-droit identifié).
Diligences à conduire (L561-10-2 CMF) : examen renforcé sur le sinistre (cohérence devis/dommages, identité réelle du prestataire) ; vérification d’identité du destinataire et de son lien avec l’assuré ; demande de pièces au prestataire (devis détaillé, factures, photos avant/après) ; si surfacturation confirmée ou destinataire non justifié, suspendre le versement et déclaration de soupçon à Tracfin (L561-15 I).
Trace à conserver : note d’examen renforcé (chronologie, analyse cohérence, identité prestataire) ; correspondance avec prestataire et assuré ; décision motivée (paiement, refus, déclaration).
Point de contrôle ACPR : cohérence sinistre/indemnisation/identité du bénéficiaire du règlement. La surfacturation organisée avec un prestataire complice est une typologie documentée par Tracfin dans le secteur non-vie.
Cas n°5 : Modification tardive du bénéficiaire avant dénouement
Scénario : un contrat d’assurance-vie de 320 000 € fait l’objet d’une modification de clause bénéficiaire à quatre mois du décès estimé du souscripteur (souscripteur âgé, état de santé connu). Le nouveau bénéficiaire est domicilié à l’étranger, sans lien familial direct apparent.
Signaux à détecter : chronologie suspecte (modification proche d’un dénouement probable) ; nouveau bénéficiaire sans lien apparent ; domiciliation à l’étranger, en particulier dans une juridiction à risque.
Diligences à conduire : examen renforcé sur la modification (L561-10-2 CMF), contexte de la décision et lien souscripteur/bénéficiaire ; filtrage du nouveau bénéficiaire (sanctions, PPE) ; si domicilié dans un pays à risque (liste UE, OCDE non coopératifs), vigilance complémentaire L561-10 et R.561-20-4 ; documenter le motif communiqué.
Trace à conserver : note d’examen renforcé incluant la chronologie complète (souscription, modifications successives, dernière modification, état de santé connu) ; justification documentée du nouveau bénéficiaire ; trace de filtrage et d’analyse pays.
Point de contrôle ACPR : capacité du dispositif à détecter les modifications tardives comme déclencheur d’examen renforcé. Une procédure qui traite la modification de clause comme une formalité administrative ne satisfait pas l’obligation de vigilance constante.
La tierce-introduction : spécificité assurance
La tierce-introduction (art. L561-7 CMF) permet au courtier de réaliser les mesures d’identification et de vérification pour le compte de l’assureur. C’est une organisation courante dans le secteur, et l’arrêté du 6 janvier 2021 en a renforcé le cadre juridique sur deux points précis :
- Premier point : le courtier doit transmettre sans délai à l’assureur les informations recueillies sur l’identification, la vérification d’identité et la connaissance client, ainsi que les documents afférents à première demande (art. R561-13 CMF). De son côté, l’assureur a des obligations de contrôle explicites sur la qualité des informations transmises, le respect des délais, et les mesures prises par le courtier pour satisfaire ses obligations de vigilance.
- Deuxième point : l’assureur reste responsable de ses obligations LCB-FT, quelle que soit l’organisation retenue. Un défaut dans les diligences du courtier engage la responsabilité de l’assureur vis-à-vis de l’ACPR.
En pratique, la difficulté opérationnelle de la tierce-introduction réside moins dans la répartition théorique des obligations que dans la capacité de l’assureur à conserver une maîtrise effective du dispositif. L’ACPR vérifie notamment la qualité des informations remontées par les intermédiaires, les délais de transmission, la possibilité d’obtenir rapidement les pièces justificatives et l’homogénéité des diligences réalisées sur l’ensemble du réseau de distribution.
Un dispositif de tierce-introduction devient fragile lorsque l’assureur ne peut plus démontrer, dossier par dossier, quelles diligences ont été réalisées, sur quelles informations elles reposaient et dans quels délais les éléments sensibles ont été portés à sa connaissance.
Le périmètre des obligations transférables (R.561-13)
L’article R.561-13 CMF (modifié par décret du 12 février 2020, complété par l’art. 8 de l’arrêté du 6 janvier 2021) fixe les contours pratiques.
Sont transférables au courtier : l’identification du client (souscripteur et BE), la vérification d’identité, le recueil des informations sur la relation d’affaires (objet, nature, origine des fonds, situation patrimoniale).
Ne sont pas transférables : l’obligation déclarative à Tracfin (L561-15 CMF) qui pèse sur le courtier pour les opérations qu’il connaît ; l’examen renforcé des opérations atypiques (L561-10-2 CMF) à la charge de celui qui détecte l’anomalie ; la responsabilité finale du dispositif, qui reste celle de l’assujetti.
Côté assureur, l’obligation de contrôle est explicite. En contrôle ACPR, il doit pouvoir démontrer : la qualité des informations transmises par chaque courtier, le respect des délais, l’homogénéité des diligences sur l’ensemble du réseau, et sa capacité à obtenir rapidement les pièces originales. Un contrat de tierce-introduction ne suffit pas : c’est l’exécution effective du contrôle qui est vérifiée.
La déclaration de soupçon reste à la charge du courtier
Sur les déclarations de soupçon, la règle est claire : dès lors que le courtier sait, soupçonne ou a de bonnes raisons de soupçonner qu’une somme ou une opération provient d’une infraction ou est liée au financement du terrorisme (art. L561-15 CMF), c’est à lui de déclarer à Tracfin, pas à l’assureur. Parler de ses soupçons à l’assureur ne l’en dispense pas, et ne lui confère pas les protections juridiques associées à la déclaration de bonne foi (art. L561-22 CMF).
Cette protection L561-22 ne se transmet pas. Le courtier qui se contente de signaler à l’assureur, sans déclarer lui-même, la perd. En cas de procédure pénale ultérieure, il peut être mis en cause sans bénéficier du régime protecteur. Une enquête ACPR de 2020 a d’ailleurs mis en évidence qu’une partie des déclarations de soupçon attribuées à des courtiers étaient en réalité effectuées par les assureurs : pratique non conforme exposant à un double risque (grief LCB-FT pour non-déclaration et perte de la protection L561-22).
Une seule exception : l’art. R.561-28 CMF prévoit la désignation conjointe d’un déclarant Tracfin au sein d’un même groupe d’assujettis exerçant sur le territoire national, sous condition que la déclaration soit réalisée au nom du courtier. Hors de ce cadre, l’obligation est strictement personnelle.
À retenir
En matière de déclaration de soupçon, le courtier reste responsable de ses propres obligations déclaratives. Informer l’assureur d’un soupçon ne vaut pas déclaration à Tracfin et ne permet pas de bénéficier de la protection juridique attachée à la déclaration de bonne foi. Sauf cas très particulier prévu par la réglementation de groupe, l’obligation de déclaration demeure strictement personnelle.
Griefs ACPR typiques en tierce-introduction
Quatres griefs sont régulièrement retenus en sanction :
1 – Absence de contrôle permanent des activités externalisées : une décision ACPR de 2023 contre un assureur vie a retenu qu’aucun contrôle permanent n’avait été diligenté sur le GIE de gestion (2018-2020), avec 69 % des dossiers du GIE non conformes ; la présence de représentants au comité des risques ne constitue pas un contrôle exercé par l’assujetti lui-même.
2 – Confusion entre contrôle permanent et contrôle périodique : trois vérifications thématiques annuelles relèvent du contrôle périodique (art. 20 à 24 de l’arrêté 2021), pas du permanent continu de 2e niveau.
3 – La co-assurance n’exonère pas chaque coassureur : la Commission des sanctions a explicitement rejeté l’argument selon lequel l’envoi d’une déclaration de soupçon par un coassureur dispenserait l’autre.
4 – Contre-mesure pour l’assureur qui externalise ou coassure : formaliser un contrôle permanent autonome (revue d’échantillon à fréquence définie, indicateurs de qualité des diligences, reporting périodique au comité conformité).
Ce que l’ACPR contrôle réellement : sanctions et enseignements
Le contrôle ACPR suit un cadre connu : questionnaire annuel, échanges avec les équipes, puis, selon les cas, mission sur place. Là où les choses se jouent réellement, c’est dans la manière dont les contrôleurs analysent le dispositif, testent sa cohérence et confrontent les différents éléments entre eux.
Le questionnaire annuel : un outil d’analyse préalable du contrôle
Le questionnaire annuel LCB-FT est souvent traité comme un exercice déclaratif. Il constitue en réalité un outil d’analyse préalable du dispositif. En amont du contrôle, il permet à l’ACPR d’identifier des zones de risque, des incohérences potentielles et des hypothèses de travail. Sur place, il devient une base de comparaison directe avec les dossiers examinés, les procédures internes, les outils utilisés et les statistiques réellement constatées.
Un dispositif présenté comme structuré crée immédiatement une attente de cohérence opérationnelle. Les chiffres déclarés sont vérifiés : nombre d’examens renforcés, volume de déclarations à Tracfin, fréquence du rescreening, volume d’alertes traitées, délais d’analyse. Une vigilance renforcée décrite dans les procédures mais absente des dossiers analysés devient immédiatement visible.
La surévaluation du dispositif déclaré peut être retenue comme grief autonome. Une décision ACPR de 2016 contre un assureur vie a fait jurisprudence : l’établissement avait déclaré 13 000 examens renforcés en 2012 en y intégrant des alertes qui n’avaient donné lieu ni à une demande au client ni à une consignation des résultats. La fausse déclaration au questionnaire annuel a constitué un grief en elle-même, indépendamment des défaillances opérationnelles constatées par ailleurs.
Sanctions assurance : enseignements transversaux
Plusieurs sanctions publiques de l’ACPR illustrent les points de faiblesse récurrents. Les noms et montants figurent au registre public ; les enseignements transversaux :
- AXA France Vie (2016, 2,5 M€, 10 griefs sur 13) : classification des risques (seuils fixes non pertinents, bons au porteur à classer en risque élevé), procédures intra-groupe, surveillance des opérations sur seuils défaillants, identification BE non renouvelée, dispositif PPE déclaratif insuffisant pour un grand acteur, déclarations de soupçon tardives (5,4 % des dossiers, délais 5 mois à plus d’un an), et complémentaires manquantes, surévaluation du dispositif au questionnaire annuel.
- Abeille Vie ex-Aviva Vie (2023, 3,5 M€, 10 griefs) : actualisation insuffisante de la connaissance client (35/38 dossiers), détection PPE défaillante (paramétrage UK/US, 13 PPE françaises non détectées), mesures complémentaires PPE incomplètes, vigilance renforcée appliquée par contrat et non par relation, scénarios sans revenu ni patrimoine, examen renforcé absent (14/15 dossiers), déclarations de soupçon initiales (7/10) et complémentaires (7/7) manquantes, des déclarations tardives (délais moyens 366/284/401 jours), absence de contrôle permanent du GIE de gestion (69 % de non-conformité).
- AXA Banque (2023, 1 M€, 6 griefs) : décision pertinente pour l’assurance car elle précise (1) la nécessité d’intégrer revenus/patrimoine dans les scénarios (position constante depuis 2015), (2) la distinction déclaration de soupçon tardive et absente (deux griefs distincts), (3) l’articulation examen renforcé / déclaration de soupçon (l’examen ne préempte pas la déclaration de soupçon directe L561-15 I).
Au-delà de la diversité des situations, ces sanctions révèlent une même faiblesse structurelle : des dispositifs capables de formaliser des obligations et des procédures, mais insuffisamment capables de démontrer, dossier par dossier, la cohérence des décisions prises, des diligences réalisées et des arbitrages effectués au cours de la relation d’affaires.
À retenir :
Les griefs récurrents dans les sanctions assurance se concentrent sur quatre points : classification des risques inadaptée, détection PPE défaillante, mise à jour de la connaissance client insuffisante, vigilance renforcée non déclenchée. Ces griefs traduisent moins une absence de dispositif qu’une difficulté à démontrer, dans les dossiers analysés, la cohérence des diligences réalisées et des décisions prises au cours de la relation d’affaires.
Comment BeCLM accompagne les assureurs dans leur conformité LCB-FT
Les griefs récurrents relevés dans les sanctions ACPR assurance ont un point commun : le dispositif existe généralement sur le papier, mais son application devient difficile à démontrer de façon homogène sur l’ensemble du portefeuille et dans la durée.
En pratique, les difficultés apparaissent souvent sur des sujets très opérationnels :
- réévaluation du niveau de risque en cours de vie du contrat ;
- traçabilité des diligences réalisées ;
- justification des clôtures d’alertes ;
- cohérence des traitements entre plusieurs réseaux de distribution ;
- capacité à restituer un dossier plusieurs mois après une opération sensible.
BeCLM intervient sur ces problématiques d’exécution et de traçabilité du dispositif LCB-FT.
Le moteur de scoring permet d’intégrer les critères de risque définis par l’organisme (type de produit, canal de distribution, profil client, exposition géographique, statut PPE ou sanctions) et de réévaluer automatiquement le niveau de risque lorsqu’un élément du dossier évolue. L’objectif n’est pas de remplacer l’analyse conformité, mais de permettre une application homogène des critères définis dans la cartographie des risques.
Le dispositif de filtrage couvre les différents périmètres de vigilance rencontrés en assurance vie : souscripteur, bénéficiaire effectif et bénéficiaire du contrat. Les contrôles réalisés, les listes utilisées, les paramètres appliqués et les dates de filtrage sont archivés de manière à permettre la restitution de la piste d’audit en cas de contrôle.
Les Double Runs qualifient automatiquement les correspondances objectivement incompatibles (divergence de pays, de genre, de lieu de naissance, d’âge ou de pièce d’identité) sans mobiliser un analyste. Les correspondances qui ne peuvent pas concerner le client sont écartées sur la base de règles documentées et opposables. Les revues humaines se concentrent sur les cas qui le justifient réellement.
L’un des enjeux centraux en contrôle ACPR reste la capacité à démontrer, dossier par dossier :
- quelles diligences ont été réalisées ;
- sur quelles informations elles reposaient ;
- à quelle date ;
- et selon quels critères une décision a été prise.
BeCLM est conçu pour que chaque décision prise au cours de la relation d’affaires reste lisible, datée et restituable, sans avoir à la reconstituer.
Concrètement :
Un responsable conformité amené à justifier le classement d’un contrat en vigilance standard peut retrouver dans BeCLM : le score appliqué à la date concernée, les critères pris en compte, les événements ayant conduit à une réévaluation du risque, les opérations de filtrage réalisées, et l’historique des diligences effectuées. Ces éléments sont archivés au fil de la relation d’affaires et restitués tels quels, sans reconstitution.
FAQ
La vigilance simplifiée s’applique-t-elle à tous les produits non-vie ?
Non. Elle est applicable sous conditions strictes : produits standard, primes annuelles en dessous des seuils réglementaires, absence de valeur de rachat, et risque de BC-FT qui doit rester faible tout au long de la relation d’affaires (art. R561-14 CMF). Dès qu’un facteur de risque plus élevé apparaît (une villa de luxe détenue via une société, par exemple), la classification en risque faible n’est plus possible.
Quels sont les griefs les plus fréquents dans les sanctions ACPR en assurance ?
Quatre points récurrents ressortent des décisions publiées :
- classification des risques non adaptée à la clientèle
- détection PPE insuffisante (notamment côté bénéficiaire)
- mise à jour de la connaissance client défaillante
- vigilance renforcée non déclenchée sur des dossiers qui l’appelaient.
Les sanctions AXA France Vie (2,5 M€, 2016) et Abeille Vie (3,5 M€, 2023) en sont les illustrations publiques les plus documentées.
La surveillance des opérations est-elle obligatoire même pour les produits à faible risque ?
Oui. Même en risque faible, un dispositif de surveillance et d’analyse des opérations adapté est obligatoire (art. L561-32 CMF). Le niveau réduit de vigilance allège les diligences, il ne supprime pas l’obligation de surveiller la cohérence des opérations avec la connaissance client.
