AMLA & AMLR : comment anticiper la conformité anti-blanchiment européenne d’ici 2027 ?

L’AMLA et l’AMLR redéfinissent la conformité anti‑blanchiment en Europe et imposent une anticipation rapide des nouvelles exigences.

En résumé :

• L'Union européenne introduira le Règlement sur la lutte contre le blanchiment d'argent (AMLR) en juillet 2027 afin de créer un cadre réglementaire unique remplaçant les règles nationales.
• Dès 2028, l'Autorité de lutte contre le blanchiment d'argent (AMLA) à Francfort renforcera la supervision. La surveillance directe des institutions financières transfrontalières à haut risque commencera.
• Les entreprises ont besoin de bases de données plus solides, d'une due diligence modernisée et de processus "Know Your Customer" (KYC) mis à jour pour gérer des cycles d'évaluation plus stricts.

L'Europe s’engage dans une nouvelle phase de réglementation anti-blanchiment d'argent en remplaçant des règles nationales fragmentées par un modèle de supervision financière unifié.

L’Autorité européenne de lutte contre le blanchiment d’argent (AMLA ou Anti-Money Laundering Authority) a été établie à Francfort, et le Règlement sur la lutte contre le blanchiment d'argent (AMLR ou Anti-Money Laundering Regulation) imposera des obligations claires et uniformes pour les assujettis.

Pour les responsables des risques et de la conformité, le principal défi consiste à comprendre comment réussir dans un environnement de supervision de plus en plus harmonisé, piloté par la donnée et transfrontalier.

Ce qui change réellement : le tournant réglementaire AML européen

L'AMLA a débuté ses travaux en 2025. Elle commencera à superviser directement certaines institutions à haut risque en 2028.

L’AMLR (UE) 2024/1624 s’appliquera à partir du 10 juillet 2027 et remplacera toutes les règles nationales par un cadre unique pour toutes les entités soumises à la réglementation.

L’Autorité bancaire européenne a déjà consulté sur un premier paquet de normes techniques (RTS ou Regulatory Technical Standards) portant sur :

• La vérification de la clientèle (CDD ou Customer Due Diligence),
• Le profilage des risques,
• Les critères de sélection des entités supervisées directement par l’AMLA,
• Les sanctions.

La traçabilité des paiements et des crypto‑actifs a déjà été renforcée depuis l'entrée en vigueur de la nouvelle réglementation sur les transferts de fonds. Ces évolutions rendent les entreprises plus comparables entre elles.

La traçabilité limitée des données, l'incohérence des connexions aux registres et l'hétérogénéité des cadres Groupe affectent désormais à la fois la conformité et la compétitivité. Elles peuvent avoir un impact direct sur l'accès aux marchés, le coût du capital et les délais de transaction.

L’ère de la donnée : priorité absolue pour l’AMLR

Le modèle de supervision de l’AMLA et les projets de normes techniques mettent l’accent sur :

• Des données structurées,
• Un scoring des risques cohérent,
• Des contrôles coordonnés entre les pays.

Le cadre combiné de l'AMLR, de la Sixième Directive anti-blanchiment (AMLD6), du Règlement AMLA et des normes techniques associées crée un socle prévisible pour les régulateurs et les entreprises en matière d’obligations AML.

Dans ce contexte, l’interaction avec les superviseurs dépendra de plus en plus de la qualité, de la structure et de la traçabilité des informations fournies par les entreprises.

La qualité des données devient donc un facteur déterminant de la qualité de la conformité.

KYC et diligence : une transformation imposée par l’AMLR

Sous l'AMLR et les projets de normes techniques, les entreprises doivent vérifier les informations qui reflètent le niveau de risque de chaque relation :

•  Dans des situations à faible risque, une due diligence raisonnable simplifiée peut réduire la quantité d'informations collectées.
• Dans des situations à haut risque, une due diligence raisonnable renforcée (EDD ou Enhanced Due Diligence) exige une analyse plus approfondie des sources de fonds, du patrimoine, des modèles de transaction et de l'exposition aux personnes politiquement exposées.

Par ailleurs, l’entrée en relation à distance constitue désormais une attente standard. L'introduction du cadre européen pour l'identité numérique, comprenant l'eIDAS 2.0 et le portefeuille d'identité numérique européen, renforcera le niveau de sécurité de l'identification numérique. Les entreprises devront accepter ces méthodes d'identification lorsque les clients choisiront de les présenter.

Une procédure efficace consistera à :

1. Confirmer l’identité et la propriété effective ;
2. Collecter les informations sur l’objectif et la nature de la relation ;
3. Appliquer l’EDD si des signaux de risque élevé apparaissent.

Une évaluation des risques désormais harmonisée en Europe

Les projets de normes techniques proposent une structure unique pour évaluer :

• Le risque inhérent (client, produit, canal, géographie),
• L’efficacité des contrôles (gouvernance, surveillance, escalade),
• Le risque résiduel, qui détermine l’attention du superviseur et les ressources internes.

L’automatisation est encouragée, mais un contrôle manuel reste possible pour intégrer le jugement d’expert. De plus, des réévaluations annuelles seront attendues pour la plupart des entreprises. Les entreprises à faible risque pourront avoir des cycles plus longs.

L'AMLR clarifie également le calendrier des examens périodiques "Know Your Customer" (KYC), ce qui poussera vers des modèles KYC permanents et déclenchés par événement.

Supervision directe de l'AMLA : êtes-vous concerné ?

À partir de 2028, l’AMLA supervisera directement jusqu’à 40 entités. Les critères reposent sur :

• Une présence dans au moins six États membres de l’Union européenne,
• Un risque résiduel élevé.

Bien que les critères de sélection finale soient fixés par les RTS et l'AMLA, il a été indiqué qu'au moins une entité sera supervisée directement dans chaque pays membre de l'Union Européenne, pour assurer une représentation équilibrée.

Les projets de RTS proposent des seuils de matérialité par État membre. À titre d’exemple, une activité transfrontalière pourra être caractérisée au-delà de 20 000 clients ou de 50 millions d'euros de transactions.

 Les entreprises proches de ces seuils doivent analyser dès maintenant :

• Leur empreinte transfrontalière,
• Leur état de préparation des données,
• Leur capacité à être supervisées.

L'AMLA coordonnera également les superviseurs nationaux et soutiendra les unités de renseignement financier (par exemple, FIU.net), créant une culture de supervision plus cohérente pour tout le marché.

Fusions-acquisitions : l’AMLR redéfinit la due diligence

Le cadre réglementaire unique réduit l'incertitude post-transaction, mais impose un renforcement de la due diligence en amont. Les acheteurs se concentreront sur la qualité des données, les informations sur les bénéficiaires effectifs, la connectivité aux registres nationaux et européens ainsi que sur l'alignement avec les nouvelles normes d'intégration et de suivi.

Par ailleurs, l’application plus cohérente des sanctions financières obligera les acheteurs à modéliser précisément les efforts de remédiation.

Groupes : une responsabilité consolidée et renforcée

Le nouveau cadre renforce également les responsabilités de la société mère en matière de programmes de lutte contre le blanchiment d'argent et le financement du terrorisme à l'échelle du groupe. Cela inclut la mise en œuvre cohérente des politiques, le partage contrôlé des informations, les garanties de confidentialité et la conformité avec la législation sur la protection des données.

Les règles précédentes exigeaient des mécanismes de partage des informations sur les activités suspectes. Le cadre réglementaire unique renforce ces attentes dans toutes les juridictions où les groupes opèrent.

La conformité AML devient pleinement globale au niveau du groupe.

Technologie : le nouveau moteur de la confiance réglementaire

Les entreprises qui réussiront sous le nouveau régime de l’ALMA investiront dans :

• Une excellente traçabilité des données,
• Des reportings fiables,
• Des services d’identité numérique solides,
• Des évaluations de risque automatisées.

L’intégration aux registres européens (bénéficiaires effectifs, comptes bancaires, immobilier) deviendra essentielle.

Les entreprises qui considèrent la vérification d’identité, le KYC continu et la Travel Rule comme des infrastructures clés réduiront les frictions avec les superviseurs et soutiendront leur croissance.

La technologie n’est plus un support : elle devient un pilier de la conformité.

Vos trois actions prioritaires avant 2027

• Réaliser une analyse d'écart (gap analysis) entre vos pratiques et l’AMLR/RTS, et cibler la collecte d’informations vraiment pertinentes selon le niveau de risque.
• Déployer un scoring automatisé du risque (inhérent, contrôles, résiduel) et intégrer eIDAS ainsi que le portefeuille d’identité numérique pour un KYC continu et déclenché par événement.
• Mettre à jour la gouvernance (externalisation, sanctions, monitoring, confidentialité, partage d’information groupe). Former les équipes à la proportionnalité en environnement numérique.