Dans les prémices de la pause estivale souvent synonyme de ralentissement de l’actualité, un article du Monde du 16 juin 2024 vient bousculer cette quiétude et les priorités des fonctions compliance. Cet article annonce la fermeture au 31 juillet de l’accès public au Registre des Bénéficiaires Effectifs (RBE), utilisé directement ou via des prestataires par de nombreuses fonctions conformité pour obtenir le nom des bénéficiaires effectifs d’une société française dans le cadre de leurs mesures de vigilance en matière de LCB / FT ou de lutte anti-corruption.
Si les impacts sont limités, voire nuls, pour la quasi-totalité des fonctions conformité et clients d’Ellisphere, il nous semblait important de reprendre l’ensemble du sujet depuis son origine pour en comprendre les tenants et aboutissants.
La 4ème directive AML : l’origine du RBE
L’origine du registre des bénéficiaires effectifs vient de la transposition de la 4ème directive AML n° 2015/849 du 20 Mai 2015 (dite AMLD4) dans le droit français. Dans un des considérants (le 14), on lit :
« La nécessité de disposer d’informations exactes et actualisées sur le bénéficiaire effectif […]. Les États membres devraient donc veiller à ce que les entités constituées sur leur territoire conformément au droit national recueillent et conservent des informations suffisantes, exactes et actuelles sur leurs bénéficiaires effectifs […],
Les États membres devraient veiller à ce que les informations sur les bénéficiaires effectifs soient conservées dans un registre central tenu en dehors de la société, dans le plein respect du droit de l’Union. […].
Les États membres devraient s’assurer que, dans tous les cas, ces informations sont mises à la disposition des autorités compétentes et des CRF (Cellule de renseignement financier) , et sont communiquées aux entités assujetties lorsque ces dernières prennent des mesures de vigilance à l’égard de la clientèle.
Les États membres devraient également s’assurer que l’accès aux informations sur les bénéficiaires effectifs est accordé, conformément aux règles en matière de protection des données, à d’autres personnes pouvant justifier d’un intérêt légitime en ce qui concerne le blanchiment de capitaux, le financement du terrorisme et les infractions sous-jacentes associées comme la corruption, les infractions fiscales pénales et la fraude.
Les personnes justifiant d’un intérêt légitime devraient avoir accès aux informations concernant la nature et l’ampleur des intérêts effectifs détenus sous la forme de leur poids approximatif. »
Cette volonté se traduit dans la même directive via l’article 30.
En France, c’est l’ordonnance n° 2016-1635 du 1er décembre 2016 renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme et en particulier son article 8* qui transpose cette exigence dans le Code Monétaire et Financier (CMF) français. C’est ainsi qu’est créée la section 9 intitulée « Le registre des bénéficiaires effectifs ». Cette nouvelle section intègre entre autres la création de l’article L561-46 du CMF qui définit celles et ceux pouvant accéder aux données sur les bénéficiaires effectifs comme suit :
« 1° La société ou l’entité juridique l’ayant déposé ;
2° Sans restriction les autorités compétentes suivantes, dans le cadre de leur mission :
-les autorités judiciaires ;
-la cellule de renseignement financier nationale mentionnée à l’article L. 521-23 ;
-les agents de l’administration des douanes agissant sur le fondement des prérogatives conférées par le code des douanes ;
-les agents habilités de l’administration des finances publiques chargés du contrôle et du recouvrement en matière fiscale ;
-les autorités de contrôle mentionnées à l’article L. 561-36 ;
3° Les personnes assujetties à la lutte contre le blanchiment et le financement du terrorisme mentionnées à l’article L. 561-2 dans le cadre d’une au moins des mesures de vigilance mentionnées aux articles L. 561-4-1 à L. 561-14-2 ;
4° Toute autre personne justifiant d’un intérêt légitime et autorisé par le juge commis à la surveillance du registre du commerce et de sociétés auprès duquel est immatriculée la société ou l’entité juridique mentionnée au 1°. »
Il est intéressant de noter que dans sa première version, le RBE était surtout à vocation de contrôle, que cela soit par les autorités ou par les entités assujetties à la lutte contre le blanchiment des capitaux dans le cadre des mesures de vigilance. C’était aussi une réponse à une difficulté majeure rencontrée par ces assujettis dans la mise en place de leur dispositif de vigilance.
Si un intérêt légitime à accéder aux informations était bien déjà présent pour couvrir d’autres besoins non explicités, celui-ci était laissé à l’appréciation du juge chargé de la surveillance du Registre du Commerce et des Sociétés.
La 5ème directive : l’ouverture au public…
Datée du 30 Mai 2018, la 5ème Directive AML (AMLD5) n° 2018/843)) modifie la 4ème.. Les conditions et modalités d’accès au RBE font partie du périmètre du texte.
Les considérants 30 à 35 explicitent certaines des motivations des changements effectués, insistant sur les bienfaits de la connaissance des BE par le grand public (30, 31, 32), sur l’objectif et la nécessité d’établissement d’une « règle claire pour l’accès du public, de manière que les tiers puissent identifier, dans l’ensemble de l’Union, qui sont les bénéficiaires effectifs des sociétés et autres entités juridiques » (33) tout en rappelant qu’« un juste équilibre devrait, notamment, être recherché entre l’intérêt du grand public à la prévention du blanchiment de capitaux et du financement du terrorisme et les droits fondamentaux des personnes concernées » (34). L’article 15 de cette directive modifie l’article 30 de la 4ème et ces changements sont transposés dans le droit français via l’ordonnance n° 2020-115 du 12 février 2020 renforçant le dispositif national de lutte contre le blanchiment de capitaux et le financement du terrorisme. Elle modifie ainsi l’art L.561-46 du CMF en :
- Amendant les points 1,2 et 3 issus de la transposition précédente
- Transformant le point 4 précédent en « Seules sont accessibles au public, les informations relatives aux nom, nom d’usage, pseudonyme, prénoms, mois, année de naissance, pays de résidence et nationalité des bénéficiaires effectifs ainsi qu’à la nature et à l’étendue des intérêts effectifs qu’ils détiennent dans la société ou l’entité. »
On voit que cette transposition a eu pour effet, d’une part, d’élargir considérablement le périmètre de ceux pouvant accéder à l’information, et d’autre part, de supprimer la nécessité de passer par le juge ; ouvrant ainsi la voie à des exploitations plus rapides de la donnée pour différents usages comme les mesures de vigilances imposées par l’Art 3 et 17 de la loi du 9 décembre 2016 dite Loi Sapin II.
… Jugée invalide par la Cour de Justice Européenne
C’est précisément la modification par la 5ème directive de l’article 30 de la 4ème directive AML qui est le fondement de la décision de la Cour de Justice de l’Union Européenne (CJUE) le 22 Novembre 2022.
Pour résumer, la Cour juge que « l’accès du grand public aux informations sur les bénéficiaires effectifs constitue une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, respectivement consacrés aux articles 7 et 8 de la Charte. En effet, les informations divulguées permettent à un nombre potentiellement illimité de personnes de s’informer sur la situation matérielle et financière d’un bénéficiaire effectif. En outre, les conséquences potentielles, pour les personnes concernées, résultant d’une éventuelle utilisation abusive de leurs données à caractère personnel sont aggravées par le fait que, une fois mises à la disposition du grand public, ces données peuvent non seulement être librement consultées, mais également être conservées et diffusées. ».
Cependant, « la Cour relève que, par la mesure en cause, le législateur de l’Union vise à prévenir le blanchiment de capitaux et le financement du terrorisme, en mettant en place, au moyen d’une transparence accrue, un environnement moins susceptible d’être utilisé à ces fins ». Elle considère que « le législateur poursuit ainsi un objectif d’intérêt général susceptible de justifier des ingérences, mêmes graves, dans les droits fondamentaux consacrés aux articles 7 et 8 de la Charte, et que l’accès du grand public aux informations sur les bénéficiaires effectifs est apte à contribuer à la réalisation de cet objectif. La Cour constate cependant que l’ingérence que comporte cette mesure n’est ni limitée au strict nécessaire ni proportionnée à l’objectif poursuivi. »
Ce n’est donc pas le RBE en lui-même qui est jugé invalide ou même la diffusion au public, mais plutôt les modalités même de cette diffusion et l’absence de limite. Parmi les effets collatéraux, les ONG et organes de presse dont l’intérêt légitime est confirmé par la décision montent au créneau car cette décision impacte considérablement leurs actions.
Des réactions immédiates et plus tardives
Comme évoqué dans cet article de blog, cet arrêt a généré de nombreuses autres réactions et actions.
En premier lieu, la plupart des RBE européens ont immédiatement cessé leur diffusion au public. Au contraire, la France a décidé de maintenir cet accès qui se faisait via des API de l’INPI (Institut National de la Propriété Industrielle) – utilisées par Ellisphere – au travers du site datainpi.fr ou via Infogreffe. Des difficultés techniques avaient pu laisser penser à une suppression de ce RBE par l’INPI, mais l’origine de cette coupure était à chercher dans l’ouverture du nouveau « Registre National des Entreprises » plutôt que dans la décision de la CJUE. Dans un communiqué de presse du 19 janvier 2023, le ministre de l’économie justifiait le maintien d’un RBE accessible au public par « l’attente de tirer toutes les conséquences de l’arrêt de la Cour de justice de l’Union européenne » et annonçait que de « futures modalités d’accès aux données du registre des bénéficiaires effectifs tenant compte de la décision de la CJUE » seraient définies.
L’été 2023 est le théâtre d’un nouveau rebondissement puisque le cabinet d’avocat à l’origine de la décision de la CJUE saisissait la commission Européenne et la CNIL pour que celles-ci procèdent à la mise en demeure de la France afin qu’elle tienne compte de la décision de la CJUE, « première étape de la procédure d’infraction ». Cette démarche visait la France et tous les autres pays ne respectant pas la décision de la CJUE comme la Lettonie, l’Estonie et le Danemark.
La récente 6ème directive AML pose les limites adéquates
La Commission Européenne avait elle réagi rapidement en affichant sa volonté de respecter cet arrêt. Le « package AML », ensemble de textes communautaires relatifs à la LCB / FT, semblait le véhicule législatif parfait.
Dans le lot, se trouve la 6ème directive AML (AMLD6 – 2024/1640) publiée au JOUE en juin 2024. Celle-ci est fondamentale car elle abrogera à terme les AMLD4 et AMLD5 pour les remplacer en totalité.
Les évolutions vont en effet s’appliquer par étapes successives.
Pour le 10 juillet 2025, la France devra avoir transposé l’Art. 74 qui remodifie l’art 30 de l’AMLD4 (2015/849) modifié par la 5ème. Concrètement, on revient à la version d’origine de l’AMLD4 puisque l’accès « à tout membre du grand public » amené par l’AMLD5 redevient : « à toute personne ou organisation pouvant démontrer un intérêt légitime », actant ainsi l’arrêt de la CJUE aussi rapidement que possible.
Pour le 10 juillet 2026, il conviendra d’aller au-delà et d’avoir transposé les articles 10, 11 et 12 de l’ALMD6. Le RBE est défini à l’art 10 et ses modalités d’accès aux articles 11 et 12. L’article 11 traite de l’accès par les autorités compétentes, les organismes d’autorégulation et les entités assujetties, il ne change fondamentalement rien par rapport aux exigences antérieures.
En revanche, l’article 12 définit plus avant « les règles particulières pour l’accès des personnes ayant un intérêt légitime » au RBE. On y trouve en particulier la liste des personnes physiques ou morales « réputées avoir un intérêt légitime » et pouvant dès lors accéder à certaines informations sur les bénéficiaires effectifs.
On peut donc considérer que l’arrêt de la CJUE est traduit par cet article 12 de l’AMLD6, qui permet par ailleurs un accès dit « au cas par cas » aux informations sur les BE par des personnes au-delà de cette liste.
Le reste de AMLD6 devra être transposé pour le 10 Juillet 2027, date d’abrogation de AMLD4, modifiée par l’AMLD5.
Eté 2024 : l’accès public au RBE ferme, comme annoncé par l’article du Monde
On apprend dans l’article du Monde que la CNIL a mis en demeure le Ministère de l’Economie de se conformer à l’arrêt de la CJUE. Ce qui se traduira concrètement par un email de l’INPI (rattaché à Bercy) du 12 juillet 2024 confirmant la fermeture définitive de l’accès au public le 31 juillet 2024, et le maintien de l’accès aux personnes justifiant d’un intérêt légitime, éléments à fournir à l’appui. Infogreffe en fera de même.
Si la transposition de l’AMLD6 n’a pas encore eu lieu dans le droit français, les modalités opérationnelles sont donc quant à elle déjà mises en place, afin d’éviter toute interruption d’accès éventuelle aux « personnes physiques et morales réputées avoir un intérêt légitime ».
L’autre fait intéressant est que les assujettis à l’art 17 de la loi 2016-1691 du 9 décembre 2016 dite Loi Sapin II, relatif à la mise en place d’un dispositif de prévention et de détection de la corruption, sont explicitement cités par l’INPI comme ayant un intérêt légitime à accéder à certaines données sur les bénéficiaires effectifs, la corruption étant considérée comme une infraction sous-jacente au blanchiment des capitaux.
En conclusion que retenir
En faisant abstraction des débats sur la transparence de la vie économique et financière et du recul que génère ou non cet arrêt de la CJUE et ses conséquences opérationnelles, sujets abondamment traités, la première chose que nous mettrons en avant est que finalement les impacts pour les directions conformité sont nul ou quasi nuls.
Pour les directions Conformité des entités assujetties aux exigences LCB / FT, l’impact est clairement nul. Rien ne change pour elles s’agissant de l’accès aux données des RBE. Cela dit, l’AMLD6 reconnaît à leurs prestataires techniques appelés « fournisseurs de produits LCB/FT » un intérêt légitime à accéder aux données. Il convient toutefois de noter que le périmètre des données accessibles est limité, alors que les entités assujetties ont, elles, accès aux données complètes. A titre d’exemple, la date de naissance complète ne sera pas communiquée, alors même qu’elle est précieuse dans les opérations de filtrage des faux positifs (combinée à la pièce d’identité souvent en possession de l’assujetti).
Les directions conformité des assujettis à la loi dite Sapin II y gagnent quant à elles en clarté puisque leur intérêt légitime est dûment précisé dans les documents INPI à compléter. Un bémol toutefois : les entreprises ayant mis en place de manière volontaire un dispositif de lutte de prévention et de détection de la corruption, comme encouragé par l’AFA, pourraient être exclues, et ainsi devoir faire des demandes dites « au cas par cas »