Droit des Affaires
June 23, 2025

Le Bouard Avocats

ACPR-Tracfin : comprendre et appliquer les lignes directrices 2025

Lignes directrices ACPR-Tracfin 2025 : l’essentiel à savoir en une minute

  • PSAN intégrés au dispositif : les prestataires de services sur actifs numériques basculent sous vigilance et déclaration obligatoires.
  • Déclaration de soupçon chronométrée : le délai de huit jours démarre dès que l’opération « devient suspecte », plus à l’alerte informatique.
  • Intelligence artificielle consacrée : IA et graphes relationnels recommandés pour hiérarchiser les alertes et cartographier les réseaux.
  • COSI revisitées : nouveaux seuils, calendrier resserré et passage impératif par la plateforme sécurisée Ermes.
  • Sanction documentaire : traçabilité des décisions, journal IA et justification écrite deviennent les premiers remparts contre les amendes ACPR.

Les dernières lignes directrices conjointes de l’Autorité de contrôle prudentiel et de résolution (ACPR) et de Tracfin datent du 23 avril 2025. Elles redessinent le paysage français de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT) : extension du périmètre aux prestataires de services sur actifs numériques (PSAN), nouvelle définition du point de départ du délai de déclaration, formalisation des communications systématiques d’informations (COSI) et, surtout, reconnaissance officielle de l’intelligence artificielle comme atout de conformité.

Destiné aux avocats en droit des affaires et aux dirigeants, cet article expose pas à pas les principales exigences et propose une méthodologie opérationnelle pour passer du texte à la pratique.

Pourquoi de nouvelles lignes directrices ?

Deux raisons dominent :

  • Intégrer les évolutions législatives : ordonnance 2020-115, arrêté du 6 janvier 2021, transposition de la 5ᵉ directive anti-blanchiment et premiers jalons du futur « Paquet blanchiment » européen.
  • Tirer les leçons de la jurisprudence : décisions récentes de la Commission des sanctions de l’ACPR et du Conseil d’État, souvent sévères sur la traçabilité documentaire et la rapidité de réaction.
Bien que dépourvues de valeur réglementaire, ces lignes directrices constituent le barème d’évaluation de l’ACPR ; les ignorer revient à naviguer sans compas face au contrôleur.

Extension aux PSAN : obligations spécifiques

Définir la cartographie des risques crypto

Trois axes :

  1. Technologie : anonymat relatif, mixers, chain-hopping.
  2. Comptes clients : grand public versus institutionnels, fréquence et volume.
  3. Localisation : juridictions à haut risque, plateformes non régulées.

Chaque axe doit être noté — faible, moyen, élevé, critique — et décliner les mesures de vigilance adaptées.

Mettre en place une vigilance continue

  • KYC renforcé : identité légale + adresse blockchain détenue + provenance des fonds.
  • Surveillance automatisée : alertes sur les transferts supérieurs aux seuils internes ou traversant un mixer répertorié.
  • Journalisation : conservation des empreintes cryptographiques et des métadonnées cinq ans minimum.

Intégrer la déclaration de soupçon

Une opération suspecte sur un wallet lié à un ransomware déclenche un compte à rebours : huit jours pour transmettre la déclaration via la plateforme Ermes, faute de quoi l’établissement s’expose à des sanctions pécuniaires et réputationnelles.

Vigilance renforcée envers toutes les entités

L’approche par les risques, clef de voûte

Le texte réaffirme douze typologies d’opérations à surveiller : cash structuring, sociétés sans activité réelle, réseaux de jeux en ligne, commerce de métaux précieux, crypto-actifs, etc.
Pour chaque typologie, l’établissement doit :

  • définir des seuils d’alerte ;
  • documenter le scénario et le paramétrage ;
  • prévoir un « plan B » manuel si l’outil automatisé tombe en panne.

Procédure de détection en sept étapes

  1. Collecte des données (KYC, transactions, réseaux sociaux si disponibles).
  2. Scénarisation (création de règles de détection).
  3. Enrichissement (listes de sanctions, registres bénéficiaires effectifs).
  4. Scoring algorithmique (machine learning ou règles expertes).
  5. Analyse humaine (validation ou rejet de l’alerte).
  6. Décision (classement, COSI ou déclaration de soupçon).
  7. Archivage (preuve du raisonnement).

Sans justificatif écrit à l’étape 5, la Commission des sanctions considère qu’il n’y a pas eu de vigilance réelle, même si le soupçon a finalement été transmis.

Intelligence artificielle : promesse et devoirs

Pourquoi l’IA est un levier

  • Volume : plusieurs millions d’opérations par jour dans un grand réseau bancaire.
  • Complexité : détection de schémas stylisés, ex. un réseau mafieux utilisant cent comptes pour fractionner ses virements.
  • Réactivité : classement instantané selon la criticité, avec transfert prioritaire à l’analyste.

Conditions posées par les régulateurs

  1. Explicabilité : le banquier doit comprendre pourquoi l’algorithme a attribué une note de 92/100 à une alerte. L’article 13 du RGPD impose un « degré raisonnable d’explication ».
  2. Contrôle humain : aucune déclaration de soupçon n’est déposée sans décision humaine ; l’IA se limite à la suggestion.
  3. Documentation : jeux de données, versions du modèle, métriques. Sans ces pièces, la défense est quasi impossible lors d’un contrôle.

Gouvernance recommandée

  • Comité IA trimestriel associant conformité, data scientists et DSI.
  • Audit externe annuel de la performance et des biais.
  • Journal de version pour chaque modification des paramètres.

Déclaration de soupçon : repères pratiques

Le nouveau compte à rebours

Le délai de huit jours débute lorsque l’opération apparaît suspecte, non lors du déclenchement informatique. Exemple : un analyste repère manuellement, le 4 mai, un virement vers une société-écran panaméenne ; les huit jours s’achèvent le 12 mai à minuit, même si l’alerte informatique a été ouverte le 6 mai.

Contenu minimal

  • Identité du client et, si différent, du donneur d’ordre.
  • Coordonnées bancaires complètes.
  • Description des flux : montants, devises, dates, contreparties.
  • Analyse : pourquoi l’opération paraît atypique ? quels critères ?
  • Pièces jointes : extrait de compte, KYC, emails.

Trucs de praticien

  • Rédiger la partie « Analyse » comme une note d’avocat : faits, qualification, doute raisonnable.
  • Bannir « virement suspect » sans argument ; l’ACPR sanctionne l’imprécision.
  • Horodater chaque étape pour prouver le respect du délai.

COSI : ne pas confondre avec la déclaration de soupçon

La COSI repose sur un critère quantitatif : aucune analyse subjective n’est requise.

  • Paiements en espèces ou monnaie électronique : 10 000 € cumulés sur le mois.
  • Transferts de fonds internationaux : 1 000 € par opération ou 2 000 € cumulés sur trente jours.
  • Transmission : via Ermes, au plus tard le 15 du mois suivant.

La COSI n’exonère jamais d’une déclaration de soupçon ; si l’opération paraît douteuse, les deux canaux doivent être utilisés.

Dispositif interne et responsabilité des dirigeants

Organigramme LCB-FT

  • Responsable conformité (n+1 du CEO ou du COMEX).
  • Équipe LCB-FT : analystes, data scientists, juristes.
  • Comité stratégique : revue des incidents, allocation budgétaire, validation IA.

Contrôle permanent

  • KPI mensuels : nombre d’alertes, taux de faux positifs, DS transmises, délai moyen.
  • Revues surprises du paramétrage : échantillons d’alertes rejetées, justification ?
  • Audit interne annuel et audit externe triennal.

Externalisation

  • Clause de réversibilité et auditabilité dans tout contrat.
  • Données hébergées dans l’UE ou encadrement RGPD complet.
  • Tests d’intrusion semestriels si le prestataire fournit un outil de filtrage.

Risques de sanction : panorama jurisprudentiel

  • Commission des sanctions ACPR, 2023 : 3 M € pour DS tardive et lacunaire.
  • Décision 2022 – 06 : 1,5 M € pour non-conservation de la matrice de risque.
  • Décision 2021 – 03 : 5 M € + blâme public pour paramétrage insuffisant (88 % des flux hors radar).

Les sanctions financières atteignent jusqu’à 10 % du chiffre d’affaires ou 100 M € ; l’impact réputationnel est souvent pire que l’amende.

Cinq actions immédiates pour vos clients établissements

  1. Mettre à jour la cartographie avant fin d’année ; intégrer jeux en ligne, NFT, métaux précieux.
  2. Auditer la filière d’alerte : temps réel ? horodatage fiable ? signature électronique qualifiée ?
  3. Lancer un bac à sable IA : testez vos scénarios et mesurez le taux de faux positifs.
  4. Former le top management : rappels sur la responsabilité pénale et l’article 574-1 CMF (interdiction d’avertir le client).
  5. Anticiper l’AMLA : préparer la localisation des données et le reporting centralisé paneuropéen.

Conclusion

Avec les lignes directrices 2025, la France renforce sa doctrine : transparence, traçabilité et réactivité. La nouveauté tient moins aux règles qu’à la preuve de leur respect : registre d’alertes, journal IA, analyses horodatées, documentation complète. Pour un avocat en droit des affaires, le message à transmettre aux clients est clair : la conformité n’est plus seulement un coût, c’est un privilège concurrentiel. Qui documente, innove et anticipe sortira gagnant ; qui se contente du minimum s’expose à la sanction — financière d’abord, réputationnelle ensuite.

Article précédent

icon

Article suivant

Notre Cabinet
Le Bouard Avocats - Versailles
4 Place Hoche,
78000, VERSAILLES
Droit des Sociétés
Création Société
Pacte Actionnaires
Liquidation amiable
Contentieux des Affaires
Procédures Collectives
Opérations sur Capital
Assemblée Générale
Droit Commercial
Droit des Contrats
Droit de la Concurrence
Fonds de Commerce
Bail Commercial
Recouvrement de Créances
Rédaction de CGV
Résolution de Litiges
Le Cabinet
A Propos
Contact
FAQ
Blog Actualité
Le Bouard Avocats
Avocat à Versailles
Avocats Postulants à Versailles
Avocat Droit du Travail Versailles
Prendre rendez-vous
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Le présent site web, accessible à l'adresse www.lebouardavocats.fr, est la propriété exclusive de la société "Le Bouard Avocats", dont le siège social est situé à Versailles au 4 Place Hoche. Cabinet d'avocats en droit commercial et des affaires ainsi qu'en droit des sociétés à Versailles. Conformément aux dispositions du Code de la propriété intellectuelle, toute reproduction, distribution, modification, adaptation, retransmission ou publication, même partielle, des divers éléments composant ce site est strictement interdite sans l'accord exprès par écrit de "Le Bouard Avocats". Cette représentation ou reproduction, par quelque procédé que ce soit, constitue une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle. Pour toute demande d'autorisation ou d'information, veuillez nous contacter par email : secretariat@lebouard-avocats.fr. Des formulaires de contact sont également à votre disposition pour toute requête. Design et référence par agence de web marketing pour avocats.

Appeler 01 39 02 02 29 Prendre RDV Prendre RDV