Compliance : l’équilibre fragile entre formalisme excessif et efficacité opérationnelle

Les règles en matière de lutte contre le blanchiment d’argent et le financement du terrorisme ne cessent d’évoluer¹La Commission renforce la lutte contre le blanchiment d’argent. Economie Suisse [en ligne]. 27 février 2025. [Consulté le 21 août 2025]. Disponible à l’adresse : https://www.economiesuisse.ch/fr/articles/la-commission-renforce-la-lutte-contre-le-blanchiment-dargent., avec un seul objectif, prévenir ce type de criminalité. Ces évolutions impliquent des règles de plus en plus denses qui doivent être suivies de près pour éviter tout excès de formalisme.

Cet article s’intéresse à la question de l’excès de formalisme dans la récolte d’informations, qui néglige la finalité de ces informations et peut même créer des opportunités pour un criminel. On imaginera par exemple un compliance officer (anglicisme : synonyme d’agent de conformité) d’une banque qui demande une multitude d’informations pour compléter un formulaire de connaissance client (Know Your Counterpart/Client, ci-après « KYC ») afin de pouvoir cocher toutes les cases de sa checklist, sans pour autant s’intéresser aux informations récoltées.

Les tâches complémentaires au KYC, telles que la recherche dans des listes de sanctions ou listes analogues (ci-après « screening ») ou un Adverse Media Screening²Adverse Media Screening. Financial Crime Academy [en ligne]. 1^er août 2025. [Consulté le 21.08.2025]. Disponible à l’adresse : https://financialcrimeacademy.org/adverse-media-screening/. (la recherche de mauvaises nouvelles en français) sont des processus nécessaires et conséquents qu’il faut gérer avec attention afin de garantir, d’une part, la conformité légale et réglementaire immédiate et, d’autre part, l’évaluation proactive des risques futurs.

Il est nécessaire d’adopter une approche axée sur les risques et de prendre conscience des raisons pour lesquelles la compliance a tendance à être considérée comme une formalité.

Qu’est-ce que la compliance ?

La compliance désigne le respect, par une entreprise et ses collaborateurs, des exigences internes et externes. Elle comprend les prescriptions légales, réglementaires et internes, ainsi que l’observation des standards et règles professionnelles usuelles sur le marché³Germann Sandro, Wicki-Birchler David. Tafeln zur Compliance. praxisorientiert – kompakt – sofort anwendbar. Zürich/Saint-Gall 2024, p. 1 (traduction personnelle) ; Ruche Sébastien. Dans la peau d’un « compliance officer ». Le Temps [en ligne]. 27 avril 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.letemps.ch/economie/finance/dans-la-peau-d-un-compliance-officer?srsltid=AfmBOoo9BZhSvwDncw1sexRWSKDfd90UDHSd23DPl45K1VaB1FU5Vb2P..

La compliance concerne une multitude de domaines, mais dans le cadre de cet article, ne sera traitée que la lutte contre le blanchiment d’argent et le financement du terrorisme.

Dans un contexte de complexité croissante et d’exigences réglementaires, la compliance doit également évoluer. Son rôle de surveillance et de contrôle permet aux intermédiaires financiers d’éviter une multitude de risques financiers, réputationnels ou pénaux⁴Voir notamment Loi fédérale du 10 octobre 1997 concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (Loi sur le blanchiment d’argent, LBA ; RS 955.0) ; art. 102 et 305bis du Code pénal suisse du 21 décembre 1937 (CP ; 311.0) ; Lutte contre le blanchiment d’argent dans le cadre de la surveillance des marchés financiers. FINMA [en ligne]. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.finma.ch/fr/surveillance/themes-intersectoriels/lutte-contre-le-blanchiment-d-argent/..

Vouloir trop bien faire, mais finir par nuire

Le concept de compliance fatigue est apparu comme un défi majeur auquel sont confrontées les entreprises de tous les secteurs⁵Understanding the pitfalls of compliance fatigue. World Finance. The voice of the market [en ligne]. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.worldfinance.com/strategy/navigating-the-labyrinth-understanding-the-pitfalls-of-compliance-fatigue (traduction personnelle).. La compliance fatigue désigne l’épuisement mental et opérationnel qui résulte du fardeau continu d’avoir à se conformer à un réseau toujours plus dense de règles, de réglementations et de protocoles⁶Ibidem.. Voici une liste non exhaustive des conséquences de la compliance fatigue⁷Ibidem. :

• Dilution des priorités ;
• Risque d’omission ;
• Paralysie décisionnelle ;
• Épuisement des employés ;
• Allocation inefficace des ressources ;
• Dégradation de l’expérience client ;
• Risque de non-conformité ;
• Pression financière.

Vouloir trop bien faire pourrait donc vraisemblablement avoir un effet pervers contre-productif alimenté par une surcharge administrative, influencée p. ex. par une procédure KYC trop stricte qui récolte trop d’informations ou un système qui émet un nombre trop élevé d’alertes que le compliance officer ne peut pas traiter.

Approche basée sur les risques

La Convention relative à l’obligation de diligence des banques (CDB) « instaure un standard prudentiel minimal, de sorte que ses signataires sont libres d’adopter des règles plus strictes sur des points spécifiques. Quelques dispositions laissent en outre sciemment une certaine flexibilité, offrant ainsi la possibilité d’appliquer la CDB selon une approche fondée sur le risque »⁸Association suisse des banquiers. Commentaire concernant la Convention relative à l’obligation de diligence des banques (CDB 20), p. 8.  Swiss Banking [en ligne]. 2020. [Consulté le 13.07.2025].Disponible à l’adresse : https://www.swissbanking.ch/_Resources/Persistent/7/f/f/a/7ffa7c0139af21aed7c863877cd46d0ac8876c2b/ASB_Commentaire_concernant_la_Convention_relative_%C3%A0_l%27obligation_de_diligence_des_banques_CDB_20_FR.pdf..

Les listes

Les listes servent de base dans le processus du suivi de la compliance. Elles permettent de contrôler, de documenter et de vérifier la présence ou l’absence d’une contrepartie, afin de lui attribuer un niveau de risque approprié. Il existe un nombre important de listes, dont celles du Groupe d’action financière (GAFI), les listes de sanctions nationales ou internationales, les listes de personnes politiquement exposées (ci-après PEP ), les listes de zones de conflits ou à haut risque (Conflict Affected and High-Risk Areas, ci-après CAHRA), ainsi que d’éventuelles listes noires internes, pour ne citer que quelques exemples.

Le screening permet de filtrer les clients susceptibles de présenter un risque. Ce filtre permet de vérifier les contreparties en lien avec des juridictions CAHRA, soumises à des sanctions ou susceptibles de devoir être considérées comme à haut risque par la banque, conformément à ses procédures internes. Les PEP font également l’objet d’un devoir de diligence particulier, en raison du risque de corruption que cette catégorie de personnes peut représenter.

Divers prestataires⁹Voir notamment Dun & Bradstreet et London Stock Exchange Group (LSEG). permettent de définir une politique de risques applicable aux screening comprenant tout ou partie d’une sélection de listes de sanctions, de listes de PEP et d’autres listes analogues. Il faut toutefois encore savoir utiliser les bonnes listes. À ce titre, le cas de Starling Bank est intéressant. Selon The Guardian, cette banque procédait bien au screening des contreparties, néanmoins cette recherche n’aurait été effectuée que sur une partie réduite des listes nécessaires usuelles du secteur bancaire¹⁰Kollewe Julia. Starling Bank fined £29m for ‘shockingly lax’ financial crime controls. The Guardian [en ligne]. 2 Octobre 2024. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.theguardian.com/business/2024/oct/02/starling-bank-fined-29m-for-shockingly-lax-financial-controls (traduction personnelle)..

Les automatismes

Le paramétrage du système de screening est primordial pour la banque. En effet, chaque changement (p. ex. : ajout/suppression d’une liste) devrait pouvoir être appliqué à chaque contrepartie ayant fait l’objet d’un screening. Il serait également nécessaire que cette adaptation puisse déclencher automatiquement un nouveau screening pour les contreparties existantes. Sans cela, les contreparties anciennement recherchées ne pourront pas faire l’objet d’une évaluation sur la base du paramétrage actuel et les compliance officers devront procéder à un nouveau screening manuel, ce qui alimentera la surcharge administrative.

Le système de screening peut être automatisé dans la résolution de « False Positive »¹¹Germann Sandro, Wicki-Birchler David. op. cit.. Ces résultats représentent une charge de travail supplémentaire pour les compliance officers qui doivent les catégoriser tout en justifiant que le résultat du screening ne concerne pas la personne recherchée.

Les dangers des checklists

Les contrôles effectués par les compliance officers sont nécessaires. Il a toutefois été mentionné ci-dessus que ceux-ci peuvent entraîner une surcharge de travail et un risque de non-conformité. Face à une pression accrue entre les attentes internes et externes, il est nécessaire d’élaborer une procédure claire pouvant prendre l’apparence d’une checklist par exemple. La checklist peut être un allié comme un ennemi redoutable.

Lorsque les checklists ne sont pas suffisamment encadrées ou ne répondent plus au devoir de diligence, elles n’apportent aucune valeur ajoutée en matière de compliance. Dans ce cas, les compliance officers, en suivant leur procédure à la lettre, répondent aux attentes internes, mais ne contribuent pas, ou du moins pas complètement, au respect de la conformité attendue.

Le formalisme comme une fin en soi (à savoir, la formalité à tout prix) accorde plus d’importance à la procédure qu’à son but et au fond des informations récoltées. Dans ce cas, si les criminels connaissent l’exigence de forme et la respectent, ils pourront agir en toute tranquillité, car l’absence de contrôle de fond leur permettra de passer inaperçus et de profiter pleinement du système.
Un criminel connaissant le système utilisé par une banque pourrait en effet viser cette dernière pour ses failles de conformité. Il est plus facile pour un criminel de contourner une checklist formelle qu’une logique de conformité ancrée dans la culture de la banque.

Une banque anglaise procédait par exemple au contrôle automatisé de l’adresse de ses clients. En 2019, elle a arrêté de procéder à ce contrôle automatisé, car de nombreux clients existants ne le passaient pas¹²Arnold Martin, Aliaj Ortenca & Al-Khalaf Laith. Monzo fined £21mn after high-risk clients gave addresses such as Buckingham Palace. Financial Times [en ligne]. 8 juillet 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.ft.com/content/d9587544-fb84-40c0-aab5-89a75670285f (traduction personnelle).. Il s’en est suivi l’ouverture de plusieurs dizaines de milliers de comptes sur la base d’adresses vraisemblablement fausses ou dont la plausibilité est discutable, notamment un compte ouvert avec l’adresse du siège de la banque¹³Ibidem ; FCA fines Monzo £21m for failings in financial crime controls. Financial Conduct Authority [en ligne]. 8 juillet 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.fca.org.uk/news/press-releases/fca-fines-monzo-21m-failings-financial-crime-controls#:~:text=The%20FCA%20has%20fined%20Monzo,August%202020%20and%20June%202022.. Dans ce cas, la banque anglaise n’a pas seulement arrêté les contrôles automatisés, mais a vraisemblablement tout bonnement arrêté les contrôles d’adresses.

Conclusion

La compliance ne peut se limiter à une liste de formalités ou à une simple collecte d’informations. La lutte contre le blanchiment d’argent et le financement du terrorisme reposent avant tout sur une compréhension réelle des risques et de la situation.

Un formalisme excessif et dépourvu de finalité ouvre la porte aux criminels, qui peuvent alors contourner les contrôles mis en place en exploitant les failles du système. Le formalisme comme une fin en soi est dangereux. Pour éviter que le formalisme n’empiète sur la rigueur nécessaire, il faut adopter une culture d’entreprise tournée vers la compliance. Au lieu de se concentrer sur la forme, il faut donc absolument adopter une réelle diligence sur le fond, en privilégiant une approche fondée sur l’évaluation des risques pour le seul objectif de garantir la conformité, plutôt que de respecter machinalement des procédures.

Il est impératif de mettre en place une procédure de conformité laissant place à l’esprit critique. Confronter une personne à une liste de cases à cocher ou une procédure trop formelle la limiterait au respect formel de la liste, au détriment d’un contrôle de conformité basé sur celui du bon sens.

• 1
  La Commission renforce la lutte contre le blanchiment d’argent. Economie Suisse [en ligne]. 27 février 2025. [Consulté le 21 août 2025]. Disponible à l’adresse : https://www.economiesuisse.ch/fr/articles/la-commission-renforce-la-lutte-contre-le-blanchiment-dargent.
• 2
  Adverse Media Screening. Financial Crime Academy [en ligne]. 1^er août 2025. [Consulté le 21.08.2025]. Disponible à l’adresse : https://financialcrimeacademy.org/adverse-media-screening/.
• 3
  Germann Sandro, Wicki-Birchler David. Tafeln zur Compliance. praxisorientiert – kompakt – sofort anwendbar. Zürich/Saint-Gall 2024, p. 1 (traduction personnelle) ; Ruche Sébastien. Dans la peau d’un « compliance officer ». Le Temps [en ligne]. 27 avril 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.letemps.ch/economie/finance/dans-la-peau-d-un-compliance-officer?srsltid=AfmBOoo9BZhSvwDncw1sexRWSKDfd90UDHSd23DPl45K1VaB1FU5Vb2P.
• 4
  Voir notamment Loi fédérale du 10 octobre 1997 concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (Loi sur le blanchiment d’argent, LBA ; RS 955.0) ; art. 102 et 305bis du Code pénal suisse du 21 décembre 1937 (CP ; 311.0) ; Lutte contre le blanchiment d’argent dans le cadre de la surveillance des marchés financiers. FINMA [en ligne]. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.finma.ch/fr/surveillance/themes-intersectoriels/lutte-contre-le-blanchiment-d-argent/.
• 5
  Understanding the pitfalls of compliance fatigue. World Finance. The voice of the market [en ligne]. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.worldfinance.com/strategy/navigating-the-labyrinth-understanding-the-pitfalls-of-compliance-fatigue (traduction personnelle).
• 6
  Ibidem.
• 7
  Ibidem.
• 8
  Association suisse des banquiers. Commentaire concernant la Convention relative à l’obligation de diligence des banques (CDB 20), p. 8.  Swiss Banking [en ligne]. 2020. [Consulté le 13.07.2025].Disponible à l’adresse : https://www.swissbanking.ch/_Resources/Persistent/7/f/f/a/7ffa7c0139af21aed7c863877cd46d0ac8876c2b/ASB_Commentaire_concernant_la_Convention_relative_%C3%A0_l%27obligation_de_diligence_des_banques_CDB_20_FR.pdf.
• 9
  Voir notamment Dun & Bradstreet et London Stock Exchange Group (LSEG).
• 10
  Kollewe Julia. Starling Bank fined £29m for ‘shockingly lax’ financial crime controls. The Guardian [en ligne]. 2 Octobre 2024. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.theguardian.com/business/2024/oct/02/starling-bank-fined-29m-for-shockingly-lax-financial-controls (traduction personnelle).
• 11
  Germann Sandro, Wicki-Birchler David. op. cit.
• 12
  Arnold Martin, Aliaj Ortenca & Al-Khalaf Laith. Monzo fined £21mn after high-risk clients gave addresses such as Buckingham Palace. Financial Times [en ligne]. 8 juillet 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.ft.com/content/d9587544-fb84-40c0-aab5-89a75670285f (traduction personnelle).
• 13
  Ibidem ; FCA fines Monzo £21m for failings in financial crime controls. Financial Conduct Authority [en ligne]. 8 juillet 2025. [Consulté le 13.07.2025]. Disponible à l’adresse : https://www.fca.org.uk/news/press-releases/fca-fines-monzo-21m-failings-financial-crime-controls#:~:text=The%20FCA%20has%20fined%20Monzo,August%202020%20and%20June%202022.