Source: OJ L, 2024/1624, 19.6.2024Current language: FR
- Anti-money laundering
Basic legislative acts
- Anti-money laundering regulation (AMLR)
Article 18 Sous-traitance
Summary What does Article 18 of the Anti-money laundering regulation (AMLR) say?
This article governs the outsourcing of AML/CFT compliance tasks by obliged entities to third-party service providers.
It permits outsourcing while making clear that accountability stays firmly with the obliged entity, not the service provider.
The article is notably detailed, setting out not only the general framework for permissible outsourcing but also a hard list of tasks that can never be outsourced, rules on third-country service providers, and a specific carve-out for certain collective investment undertakings.
It connects directly to the internal governance obligations in Articles 9 and 10, as the approval of risk assessments and internal policies established under those articles are among the tasks explicitly ring-fenced from outsourcing.
Important points:
- Remain fully liable for all outsourced tasks — full accountability cannot be delegated to a service provider under any circumstances.
- Certain core decisions can never be outsourced, including approving risk assessments and internal policies, determining a customer's risk profile, and deciding whether to enter into a business relationship.
- Outsourcing to service providers in high-risk third countries identified under Chapter III is prohibited unless the provider is part of the same group, the group applies fully compliant AML/CFT standards, and group-level supervision is in place.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités assujetties peuvent sous-traiter à des prestataires de services des tâches découlant du présent règlement. L’entité assujettie informe le superviseur de la sous-traitance avant que le prestataire de services ne commence à exécuter les tâches sous-traitées pour l’entité assujettie.
Lorsqu’ils accomplissent des tâches prévues par le présent article, les prestataires de services sont considérés comme faisant partie de l’entité assujettie, y compris lorsqu’ils sont tenus de consulter les registres centraux visés à l’article 10 de la directive (UE) 2024/1640 (ci-après dénommés «registres centraux») aux fins de l’exercice de la vigilance à l’égard de la clientèle pour le compte de l’entité assujettie.
L’entité assujettie demeure pleinement responsable de toutes les actions, qu’il s’agisse d’actes ou d’omissions, liées aux tâches sous-traitées qui sont exécutées par des prestataires de services.
Pour chaque tâche sous-traitée, l’entité assujettie est en mesure de démontrer au superviseur qu’elle comprend le raisonnement qui sous-tend les activités exécutées par le prestataire de services et l’approche suivie dans leur mise en œuvre, et que ces activités atténuent les risques spécifiques auxquels l’entité assujettie est exposée.
Les tâches sous-traitées en vertu du paragraphe 1 du présent article ne sont pas exécutées selon des modalités qui nuisent sensiblement à la qualité des politiques et procédures mises en place par l’entité assujettie pour respecter les exigences du présent règlement et du règlement (UE) 2023/1113, ou à celles des contrôles mis en place pour tester ces politiques et procédures. Les tâches suivantes ne peuvent en aucun cas être sous-traitées:
la proposition et l’approbation de l’évaluation des risques à l’échelle de l’entité réalisée par l’entité assujettie conformément à l’article 10, paragraphe 2;
l’approbation des politiques, contrôles et procédures internes de l’entité assujettie en application de l’article 9;
la décision concernant le profil de risque à attribuer au client;
la décision de nouer une relation d’affaires avec un client ou d’exécuter à titre occasionnel une transaction pour un client;
la déclaration à la CRF d’activités suspectes conformément à l’article 69 ou les rapports fondés sur des seuils conformément aux articles 74 et 80, sauf lorsque ces activités sont sous-traitées à une autre entité assujettie appartenant au même groupe et établie dans le même État membre;
l’approbation des critères de détection des transactions et activités suspectes ou inhabituelles.
Avant qu’une entité assujettie ne sous-traite une tâche en vertu du paragraphe 1, elle s’assure que le prestataire de services est suffisamment qualifié pour exécuter les tâches à sous-traiter.
Lorsqu’une entité assujettie sous-traite une tâche en vertu du paragraphe 1, elle veille à ce que le prestataire de services, ainsi que tout prestataire de services d’une sous-traitance ultérieure, applique les politiques et procédures qu’elle a adoptées. Les conditions d’exécution de ces tâches sont définies dans un accord écrit conclu entre l’entité assujettie et le prestataire de services. L’entité assujettie effectue des contrôles réguliers pour s’assurer de la mise en œuvre effective de ces politiques et procédures par le prestataire de services. La fréquence de ces contrôles est déterminée en fonction du caractère critique des tâches sous-traitées.
Les entités assujetties veillent à ce que la sous-traitance ne s’effectue pas selon des modalités qui nuisent sensiblement à la capacité des autorités de surveillance de contrôler et d’établir qu’elles respectent le présent règlement et le règlement (UE) 2023/1113.
Par dérogation au paragraphe 1, les entités assujetties ne sous-traitent pas des tâches découlant des exigences du présent règlement à des prestataires de services résidant ou établis dans des pays tiers identifiés conformément au chapitre III, section 2, sauf si toutes les conditions suivantes sont remplies:
l’entité assujettie sous-traite des tâches exclusivement à un prestataire de services qui fait partie du même groupe;
le groupe applique des politiques et procédures en matière de LBC/FT, des mesures de vigilance à l’égard de la clientèle, ainsi que des règles relatives à la conservation des documents et pièces qui sont pleinement conformes au présent règlement ou à des règles équivalentes dans les pays tiers;
la mise en œuvre effective des exigences visées au point b) du présent paragraphe est surveillée au niveau du groupe par l’autorité de surveillance de l’État membre d’origine conformément au chapitre IV de la directive (UE) 2024/1640.
Par dérogation au paragraphe 3, lorsqu’un organisme de placement collectif n’a pas la personnalité juridique ou ne dispose que d’un conseil d’administration et qu’il a délégué le traitement des souscriptions et la collecte de fonds au sens de l’article 4, point 25), de la directive (UE) 2015/2366 auprès d’investisseurs à une autre entité, il peut sous-traiter les tâches visées au paragraphe 3, points c), d) et e), du présent article à l’un de ses prestataires de services.
La sous-traitance visée au premier alinéa du présent paragraphe ne peut avoir lieu qu’après que l’organisme de placement collectif a informé le superviseur de son intention de sous-traiter les tâches en vertu du paragraphe 1, et que le superviseur a approuvé cette sous-traitance en tenant compte:
des ressources, de l’expérience et des connaissances du prestataire de services en matière de prévention du blanchiment de capitaux et du financement du terrorisme;
de la connaissance par le prestataire de services du type d’activités ou de transactions effectuées par l’organisme de placement collectif.
Au plus tard le 10 juillet 2027, l’ALBC émet des orientations à l’intention des entités assujetties sur les points suivants:
l’établissement de relations de sous-traitance, y compris de toute relation de sous-traitance ultérieure, conformément au présent article, la gestion de celles-ci, ainsi que les procédures de surveillance de l’exécution de fonctions par le prestataire de services, en particulier les fonctions qui doivent être considérées comme étant critiques;
les rôles et les responsabilités de l’entité assujettie et du prestataire de services dans le cadre d’un accord de sous-traitance;
les approches en matière de surveillance en ce qui concerne la sous-traitance ainsi que les attentes en matière de surveillance en ce qui concerne la sous-traitance de fonctions critiques.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
superviseur
(En. supervisor)
Definition
groupe
(En. group)
Definition
services sur crypto-actifs
(En. crypto-asset services)
Definition
financement du terrorisme
(En. terrorist financing)
Definition
fonds
(En. funds)
Definition
relation d’affaires
(En. business relationship)
Definition
pays tiers
(En. third country)
Definition
établissement financier
(En. financial institution)
- une entreprise, autre qu’un établissement de crédit ou une entreprise d’investissement, qui exerce au moins l’une des activités énumérées à l’annexe I, points 2) à 12), 14) et 15), de la directive 2013/36/UE du Parlement européen et du Conseil(32), y compris les activités de bureau de change, mais à l’exclusion des activités visées à l’annexe I, point 8, de la directive (UE) 2015/2366, ou une entreprise dont l’activité principale consiste à prendre des participations, en ce compris une compagnie financière holding, une compagnie financière holding mixte et une compagnie holding mixte financière;
- une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE du Parlement européen et du Conseil(33), dans la mesure où elle exerce des activités d’assurance vie ou d’autres activités d’assurance liées à des placements relevant de ladite directive, y compris des sociétés holding d’assurance et des sociétés holding mixtes d’assurance au sens, respectivement, de l’article 212, paragraphe 1, points f) et g), de la directive 2009/138/CE;
- un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 lorsqu’il s’occupe d’assurance vie et d’autres services d’assurance liés à des placements, à l’exception d’un intermédiaire d’assurance qui ne perçoit ni les primes ni les sommes destinées au client et agit sous l’entière responsabilité d’une ou plusieurs entreprises d’assurance ou intermédiaires pour les produits qui les concernent respectivement;
- une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE du Parlement européen et du Conseil(34);
- un organisme de placement collectif, en particulier:
- un organisme de placement collectif en valeurs mobilières (OPCVM) au sens de l’article 1er, paragraphe 2, de la directive 2009/65/CE et sa société de gestion au sens de l’article 2, paragraphe 1, point b), de ladite directive, ou une société d’investissement agréée conformément à ladite directive et n’ayant pas désigné de société de gestion, qui propose à la vente des parts d’OPCVM dans l’Union;
- un fonds d’investissement alternatif au sens de l’article 4, paragraphe 1, point a), de la directive 2011/61/UE et son gestionnaire de fonds d’investissement alternatif au sens de l’article 4, paragraphe 1, point b), de ladite directive qui relèvent du champ d’application défini à l’article 2 de ladite directive;
- un dépositaire central de titres au sens de l’article 2, paragraphe 1, point 1), du règlement (UE) no 909/2014 du Parlement européen et du Conseil(35);
- un prêteur au sens de l’article 4, point 2, de la directive 2014/17/UE du Parlement européen et du Conseil(36) et de l’article 3, point b), de la directive 2008/48/CE du Parlement européen et du Conseil(37);
- un intermédiaire de crédit au sens de l’article 4, point 5, de la directive 2014/17/UE et de l’article 3, point f), de la directive 2008/48/CE, lorsqu’il détient les fonds au sens de l’article 4, point 25), de la directive (UE) 2015/2366 en lien avec le contrat de crédit, à l’exception de l’intermédiaire de crédit exerçant des activités sous la responsabilité d’un ou de plusieurs prêteurs ou intermédiaires de crédit;
- un prestataire de services sur crypto-actifs;
- la succursale d’un établissement financier visé aux points a) à i), située dans l’Union, que son siège social se situe dans un État membre ou dans un pays tiers;
Definition
prestataire de services sur crypto-actifs
(En. crypto-asset service provider)
Definition
compagnie holding mixte financière
(En. financial mixed activity holding company)
Definition
crypto-actif
(En. crypto-asset)
Definition
autorité de surveillance
(En. supervisory authority)
Definition
biens
(En. funds)
Definition
blanchiment de capitaux
(En. money laundering)
Definition
entreprise mère
(En. parent undertaking)
- pour les groupes dont le siège social est situé dans l’Union, une entité assujettie qui est une entreprise mère au sens de l’article 2, point 9), de la directive 2013/34/UE qui n’est pas elle-même une filiale d’une autre entreprise dans l’Union, pour autant qu’au moins une filiale soit une entité assujettie;
- pour les groupes dont le siège social est situé en dehors de l’Union, lorsqu’au moins deux filiales sont des entités assujetties établies dans l’Union, une entreprise appartenant à ce groupe et établie dans l’Union, qui:
- est une entité assujettie;
- est une entreprise qui n’est pas une filiale d’une autre entreprise qui est une entité assujettie établie dans l’Union;
- revêt une importance suffisante au sein du groupe et a une compréhension suffisante des activités du groupe qui sont soumises aux exigences du présent règlement, et
- se voit confier la responsabilité de la mise en œuvre des exigences à l’échelle du groupe prévues au chapitre II, section 2, du présent règlement;
Definition
organisme d’autorégulation
(En. self-regulatory body)
Definition
établissement de crédit
(En. credit institution)
- un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013;
- une succursale d’un établissement de crédit au sens de l’article 4, paragraphe 1, point 17), du règlement (UE) no 575/2013, lorsqu’elle est située dans l’Union, que son siège social soit situé dans un État membre ou dans un pays tiers;
Definition
établissement
(En. establishment)
- une succursale ou filiale;
- dans le cas d’établissements de crédit et d’établissements financiers, une infrastructure ayant le statut d’établissement en vertu de la réglementation prudentielle;