AMLA : le cadre de supervision LCB-FT qui change tout
TL;DR
- Publication décisive : L'AMLA a publié 3 textes techniques le 18 décembre 2025 qui posent les bases de la méthodologie de supervision LCB-FT en Europe à partir de 2028, sous réserve d'adoption finale par la Commission.
- Méthodologie harmonisée : Tous les superviseurs UE utiliseront le même système de scoring de risque (risque inhérent 1-4, qualité contrôles A-D, risque résiduel calculé).
- Actions immédiates : Cartographier les datapoints requis, aligner vos modèles de risque internes, préparer votre bibliothèque de preuves de contrôle.
Ce qui change concrètement
| Ce qui change | Aujourd'hui | Après AMLA (dès 2027) |
|---|---|---|
| Qui vous supervise | ACPR/AMF selon vos activités | ACPR/AMF — sauf si vous êtes parmi les ~40 groupes sous supervision directe AMLA |
| Méthode d'évaluation | Approche nationale variable selon superviseur | Scoring harmonisé UE : risque inhérent 1-4, qualité contrôles A-D |
| Données à fournir | Selon exigences ACPR (variable) | Datapoints standardisés identiques pour tous (liste en cours de finalisation) |
| Documentation | Français acceptable | Français acceptable — modalités linguistiques en supervision directe à préciser |
| Sanctions | Selon droit national | Jusqu'à 10% du CA pour les entités sous supervision directe AMLA |
Contexte institutionnel
L'EBA a transféré ses compétences LCB-FT à l'AMLA (Anti-Money Laundering Authority) le 31 décembre 2025. L'AMLA est désormais l'autorité européenne chargée de la supervision directe d'un maximum de 40 entités à haut risque transfrontalier à partir de 2028 — la supervision reste nationale pour les autres entités assujetties. Le 18 décembre 2025, elle a publié 3 textes techniques fondateurs (2 projets de RTS + 1 projet d'ITS) — en cours de finalisation post-consultation (clôturée le 27 janvier 2026).
Statut : ces projets de RTS/ITS sont en phase de finalisation. Ils deviendront applicables après adoption par la Commission européenne et publication au JOUE. Ce ne sont pas encore des normes finales.
Supervision directe ~40 entités
À partir de 2028, l'AMLA supervisera environ 40 institutions ou groupes financiers jugés complexes, transfrontaliers et à risque élevé.
Supervision indirecte Convergence UE
Pour toutes les autres entités : supervision nationale maintenue, mais selon une méthodologie unique définie par l'AMLA.
Résultat : Moins de marges d'interprétation locales, plus de comparabilité, niveau d'exigence homogène.
Pourquoi c'est important pour vous
Ce cadre va structurer les attentes des superviseurs sur :
- Vos modèles de risque LCB-FT
- Les datapoints réglementaires à fournir
- L'organisation de votre fonction LCB-FT
Pour la prochaine décennie.
Calendrier réglementaire
18 décembre 2025
Publication des 3 textes techniques (2 RTS + 1 ITS)
27 janvier 2026
Consultation publique clôturée — analyse des contributions en cours
2026
Phase de tests méthodologie avec superviseurs nationaux
31 décembre 2027
Application méthodologie d'évaluation des risques (générale UE)
30/09/2026
Date limite : les superviseurs nationaux communiquent à l'AMLA la liste des entités éligibles à la supervision directe
1er janvier 2028
Démarrage supervision directe AMLA (~40 entités — liste définitive non publiée au 22/03/2026)
Les 3 textes publiés : ce qu'ils contiennent
RTS n°1 : Méthodologie harmonisée d'évaluation des risques
Méthode en 3 étapes :
- Définition : Risque de BC/FT avant contrôles
- 4 familles de facteurs : Clients · Produits/services/transactions · Canaux de distribution · Zones géographiques
- Scoring : 1 (faible) à 4 (élevé) — Classification : Faible, Moyen, Substantiel, Élevé
- Ajustement possible : ±1 niveau maximum (encadré strictement)
- Éléments évalués : Gouvernance, monitoring, KYC, formation, audits
- Scoring inversé : 1 (très bonne qualité) à 4 (faible)
- Classification : A (très bonne), B (bonne), C (modérée), D (faible)
- Preuves requises : Inspections, examens thématiques, rapports d'audit
- Règle de calcul (RTS) : Si qualité contrôles = 4 (faible), le risque résiduel ne peut pas descendre en dessous du risque inhérent. Sinon, risque résiduel = moyenne arithmétique des deux scores.
Exemple 1
- Risque inhérent = 3
- Qualité contrôles = 4 (faible)
- Risque résiduel = 3
Exemple 2
- Risque inhérent = 4
- Qualité contrôles = 2 (bonne)
- Risque résiduel = (4+2)/2 = 3
Principe clé : Un modèle intrinsèquement risqué ne peut jamais être "faible" en risque résiduel, même avec d'excellents contrôles.
RTS n°2 : Sélection des entités sous supervision directe AMLA
Méthode en 2 temps :
Critère : Présence matérielle dans au moins 6 États membres
Seuils quantitatifs (par État) :
- Plus de 20 000 clients résidents
- OU plus de 50 M€ de flux annuels pour ces clients
- Application de la même méthodologie que RTS n°1
- Différence : Pas d'ajustement pour « spécificités nationales » (équité entre États)
- Pour les Groupes : Score agrégé via moyenne pondérée (poids plus fort aux entités risquées)
Sélection : les superviseurs nationaux ont jusqu'au 30/09/2026 pour transmettre la liste à l'AMLA. La liste définitive n'est pas publiée au 22/03/2026. Supervision effective au 1er janvier 2028.
ITS : Coopération AMLA – superviseurs nationaux
- Joint Supervisory Teams (JST) : Équipes mixtes AMLA + superviseurs nationaux
- Collecte de données : Responsabilité initiale des superviseurs nationaux
- Contrôles qualité : Avant transmission à l'AMLA
- Transfert de supervision : Règles détaillées de transition
Modèle : Inspiré du MSU (Mécanisme de Surveillance Unique) de la BCE.
Les datapoints à fournir à l'AMLA
Objectif : Base de données standardisée pour calculs de risque.
Avantage : Moins que la somme des demandes nationales actuelles.
Exemples de datapoints (liste non exhaustive) :
- Nombre de clients par pays
- Volumes de transactions par produit
- Nombre d'alertes générées/traitées
- Délais moyens de traitement KYC
- Taux de false positives screening
- Budget fonction LCB-FT
- Nombre d'ETP dédiés
- Formations dispensées (heures)
- Incidents LCB-FT déclarés
Liste complète disponible dans le document RTS publié.
Ce que vous devez faire MAINTENANT
- Cartographier les datapoints requis par l'AMLA
- Identifier les sources de données et définir les data owners
- Mettre en place contrôles de cohérence et traçabilité
- Comparer votre BWRA/CRA avec la taxonomie AMLA (4 facteurs, scoring 1-4)
- Distinguer clairement risque inhérent vs résiduel
- Produire le mapping BWRA actuel → BWRA AMLA + gap analysis
- Lister tous vos contrôles LCB-FT (gouvernance, monitoring, KYC, formation, audit)
- Constituer le dossier de preuves : procédures, KPIs, rapports d'audit, logs système
- Organiser dans un repository centralisé, indexé par catégorie (scoring A/B/C/D)
Pour les groupes à forte empreinte transfrontalière :
- Mesurer l'exposition par État membre (clients, flux) et comparer aux seuils (20k / 50M€)
- Modéliser le passage sous JST : gouvernance, flux de données, interlocuteurs
- Préparer la transition : documentation en anglais (anticipation pratique — langue de travail non encore officiellement précisée dans les textes AMLA publiés), procédures groupe harmonisées
FAQ (Questions fréquentes)
Mon établissement sera-t-il supervisé directement par l'AMLA ?
Seulement si vous remplissez 2 conditions : présence matérielle dans ≥6 États membres (>20k clients OU >50M€/État) et score de risque résiduel élevé selon méthodologie AMLA. Environ 40 entités concernées en 2028.
Quand dois-je commencer à préparer mes datapoints ?
Immédiatement. La phase de tests commence en 2026, et les superviseurs nationaux vont demander des données dès cette année pour préparer la méthodologie.
Puis-je continuer à utiliser mon BWRA actuel ?
Oui, mais vous devez le rendre compatible avec la méthodologie AMLA (même taxonomie, même scoring). Un mapping sera nécessaire.
Les datapoints définis par l'AMLA sont-ils définitifs ?
La liste exacte sera précisée dans les RTS finaux, attendus courant 2026 après analyse des contributions à la consultation (clôturée le 27 janvier 2026). Le nombre exact de datapoints sera précisé dans les textes finaux.
Que se passe-t-il si je ne suis pas en conformité en 2028 ?
Les superviseurs (AMLA ou nationaux) pourront refuser/retirer votre agrément, imposer des mesures correctives ou infliger des sanctions administratives.
Comment savoir si mes contrôles sont de « bonne qualité » (notation A/B) ?
Les superviseurs évalueront sur la base d'inspections sur place, examens thématiques, rapports d'audit et métriques de performance (délais, taux d'erreur, couverture). Préparez vos preuves maintenant.
Mon établissement est uniquement en France. Suis-je concerné ?
Oui. Même sous supervision nationale, vous serez évalué selon la méthodologie AMLA harmonisée. Mêmes datapoints, même scoring.