Revue thématique CSSF : Lutte contre le financement de la prolifération

Publié le 17 novembre 2025, la Commission de Surveillance du Secteur Financier (CSSF) met à disposition une revue thématique (en anglais) dédiée à la lutte contre le financement de la prolifération (Counter-Proliferation Financing – CPF). Ce document synthétise les attentes prudentielles applicables aux établissements financiers luxembourgeois et, plus largement, aux acteurs soumis à des exigences LCB/FT/FPF, avec un accent sur la gouvernance, la cartographie des risques, le filtrage des sanctions et des biens à double usage, les indicateurs d’alerte et la documentation des diligences. Source officielle : CSSF :cite[css].

Pourquoi la CSSF publie une revue thématique CPF maintenant

Le contexte géopolitique et la sophistication croissante des schémas d’évitement des sanctions renforcent la pression réglementaire sur la prévention et la détection des flux liés à la prolifération des armes de destruction massive. La revue thématique de la CSSF clarifie les attentes en matière de cadre CPF aligné sur les régimes de sanctions, la gestion des biens à double usage et les contrôles fondés sur les risques :cite[css].

Portée, définitions et positionnement dans le dispositif LCB/FT

- Portée : tous les établissements assujettis au Luxembourg (banques, PSF, gestion d’actifs, paiements, etc.) sont tenus d’intégrer les risques de financement de la prolifération dans leur dispositif LCB/FT.

- Définition opérationnelle : la CPF vise les mesures destinées à empêcher, détecter et interrompre le financement direct ou indirect d’activités liées à la prolifération, incluant l’acquisition, la production, le transport ou le transfert de biens contrôlés, technologies et services associés.

- Positionnement : le CPF est un sous-ensemble des contrôles LCB/FT, intimement lié au respect des sanctions financières internationales et des régimes de contrôle des exportations (biens à double usage).

Gouvernance et responsabilités

- Conseil d’administration : approbation de l’appétence au risque CPF, supervision des ressources et du plan de remédiation.

- Management exécutif : déclinaison des politiques, allocation des moyens humains et technologiques, pilotage des contrôles 1re et 2e ligne.

- Conformité (2e ligne) : propriétaire de la politique CPF, revue indépendante, veille sanctions/export, pilotage de la formation et des contrôles.

- Audit interne (3e ligne) : assurance sur la conception et l’efficacité du dispositif CPF, couvrant données, filtrage, alertes et reporting.

Évaluation et cartographie des risques CPF

- Facteurs intrinsèques : exposition géographique à des juridictions sous sanctions, secteurs et produits sensibles (correspondent banking, trade finance, transferts internationaux, custody), typologie de clientèle (traders internationaux, entités d’État, brokers), chaîne de parties prenantes (transitaires, shipping, assureurs transport).

- Facteurs aggravants : corridors à haut risque, paiements complexes à plusieurs intermédiaires, sociétés écrans et beneficial ownership opaques, transactions non usuelles, patterns de fractionnement.

- Double usage : identification des flux liés à des biens, logiciels, technologies à double usage – au-delà des libellés standards – via enrichissement documentaire (HS codes, Incoterms, descriptions techniques).

- Résultats : formaliser une matrice de risques CPF et un plan de contrôles proportionnés.

Politiques et procédures CPF

- Politique cadre : objectifs, périmètre, rôles et responsabilités, intégration aux politiques LCB/FT et Sanctions, seuils d’escalade et traitements des alertes, conservation des preuves.

- Procédures : due diligence CPF en onboarding et revue périodique, calibrage des scénarios de détection, revue des faux positifs et whitelists, gouvernance des modèles (changelog, validation, tests), coordination avec Sanctions et Trade Compliance.

- Traçabilité : documentation structurée des décisions, justification des rejets/acceptations, horodatage, piste d’audit complète.

Diligences KYC/EDD spécifiques

- Identification du client et des bénéficiaires effectifs, screening contre les listes de sanctions pertinentes, y compris entités détenues ou contrôlées (règle 50%/contrôle).

- Compréhension de l’activité et du profil commercial : routes commerciales, produits transportés, interactions avec brokers ou free zones, modèles de paiement et monnaie utilisée.

- EDD renforcée pour expositions à risques élevés : preuves documentaires (contrats, factures, licences export, certificats d’utilisateur final), vérification de la cohérence des volumes et des contreparties, contrôle des « red flags » CPF.

Filtrage Sanctions, listes et entités contrôlées

- Listes à couvrir : Nations Unies, UE, USA (OFAC), Royaume-Uni, Luxembourg – et toute liste imposée par la politique du groupe, avec mise à jour fréquente.

- Entités contrôlées : couverture des entités possédées/contrôlées par des personnes/entités sanctionnées, même si non explicitement listées, selon la politique applicable.

- Données : normalisation, translitération, alias, aka, scripts non latins, traitement des « sparse data » et des caractères spéciaux.

- Performance : minimiser les faux positifs tout en garantissant une sensibilité élevée, avec métriques documentées.

Surveillance des transactions et scénarios CPF

- Trade finance : lettres de crédit vers/high-risk ports, incohérences documents (BL, factures, packing lists), routes maritimes contournées, transbordements atypiques.

- Paiements : split transactions, paiements in-tandem, messages SWIFT MT103/202COV/MX avec motifs génériques, répétition d’instructions vers banquiers correspondants à risque.

- Marchés : flux titres vers dépositaires dans des juridictions sensibles, manipulation de libellés corporate actions.

- Indicateurs CPF : mentions de biens à double usage, pièces détachées « génériques », équipements de laboratoire sensibles, incohérences poids/valeur, clients réticents à fournir licences export.

Biens à double usage et contrôles export

- Identification : référentiel de classifications (codes douaniers, listes de contrôle), mapping avec libellés commerciaux, mise en place de mots-clés techniques multilingues.

- Preuves : collecte et archivage des licences export/import, end-user statements, attestations de conformité.

- Opérationnel : points de contrôle en amont du paiement/financement, blocage si pièces justificatives absentes ou incohérentes.

Gestion des alertes, enquêtes et escalades

- Triage : priorisation basée sur risque, scoring, délais de traitement cibles.

- Enquête : recherche documentaire, interrogations clients, analyses OSINT contrôlées, coordination Sanctions/LCB/FT.

- Décision : grille décisionnelle, approbations par niveaux, justification écrite, mesures conservatoires (gel, refus, sortie).

- Reporting : traçabilité complète, statistiques, restitution aux instances de gouvernance.

Data, modèles et qualité opérationnelle

- Gouvernance des données : dictionnaire, qualité (complétude, exactitude, fraicheur), contrôles de cohérence inter-systèmes.

- Modèles : design review, tests de non-régression, backtesting, surveillance continue, recalibrage documenté.

- Performance : KPI/KRI (taux de détection, faux positifs, délais, taux d’escalade), RACI consolidé.

Formation et culture de conformité

- Formation initiale et continue ciblée CPF avec cas d’usage sectoriels, évaluations et traçabilité.

- Sensibilisation des métiers (front, opérations, trade, marchés) et des fonctions support (juridique, fiscal, logistique) aux red flags pratiques.

Contrôles de 2e/3e ligne et revues indépendantes

- 2e ligne : tests de conception/efficacité sur le filtrage, les scénarios CPF, les revues de faux positifs, et la gestion des listes.

- 3e ligne : audits thématiques CPF couvrant bout-en-bout la chaîne données-modèles-processus, recommandations priorisées et suivi des plans d’action.

Reporting interne et externe

- Interne : comités risques/ conformité, tableau de bord CPF, incidents, temps de traitement, expositions par zone/secteur.

- Externe : obligations de déclaration aux autorités compétentes conformément aux cadres applicables, y compris mesures de gel lorsqu’elles s’imposent.

Spécificités par lignes d’activité

- Banque de détail : filtrage paiement international, remittances, cohérence motifs.

- Banque privée : structures patrimoniales multicouches, flux transfrontières, actifs non traditionnels.

- Marchés financiers : conservation/transferts de titres, corporate actions liées à entités sensibles.

- Paiements : PSP/EMI, corridors, partenaires correspondants, monitoring near-real-time.

- Asset management : due diligence sur investisseurs/portefeuilles, distribution cross-border, délégations.

Technologies et bonnes pratiques

- List screening performant avec algorithmes de similarité linguistique, translitération, fuzzy matching calibré CPF.

- Surveillance des transactions augmentée (règles + ML), explicabilité et biais maîtrisés.

- Solutions trade compliance pour relier flux financiers et données logistiques (BL, HS codes, sanctions map).

Documentation et piste d’audit

- Politique, procédures, registres d’alertes, décisions, preuves justificatives et comptes rendus de comités conservés selon une politique d’archivage opposable.

- Capacité de reconstitution rapide pour inspection CSSF.

Interactions groupe et prestataires

- Alignement avec politiques groupe, gestion des modèles partagés, clauses contractuelles CPF avec prestataires critiques (KPI, droit d’audit, réversibilité).

Sanctions et mesures correctrices

- Les manquements CPF peuvent entraîner des mesures prudentielles et sanctions. La revue met l’accent sur l’anticipation via un dispositif robuste et documenté :cite[css].

Conclusion

La revue thématique CSSF fournit un référentiel clair pour évaluer et renforcer la maîtrise des risques de financement de la prolifération. Les établissements doivent intégrer la CPF au cœur de leur dispositif LCB/FT, ajuster leurs contrôles à la matérialité des expositions, et documenter de bout en bout la chaîne décisionnelle :cite[css].

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Mettre à jour la cartographie des risques pour y inclure les expositions CPF (juridictions, produits, chaînes logistiques) et définir des KPI/KRI dédiés.
• Recalibrer le screening sanctions et les scénarios de surveillance pour couvrir entités contrôlées, biens à double usage et corridors à risque.
• Renforcer la collecte documentaire (licences, end-user statements) et la traçabilité des décisions d’alerte.
• Structurer un programme de formation ciblée par métiers avec cas pratiques CPF, et un plan de tests 2e/3e ligne.
• Négocier avec les prestataires critiques des exigences contractuelles CPF (SLA, qualité des données, droit d’audit).