Liste Grise GAFI Juin 2026: Irak, Bosnie et KYC DDC

Le GAFI a ajouté l'Irak et la Bosnie-Herzégovine à sa liste grise en juin 2026. Voici ce que les équipes conformité doivent mettre à jour dans leurs programmes KYC et DDC.

Emily Carter
Par Emily CarterConsultante en Stratégie IA chez Joinble
·11 min de lecture
Partager
Liste Grise GAFI Juin 2026: Irak, Bosnie et KYC DDC
imageUtiliser cette imagedownloadTélécharger

Le Groupe d'action financière (GAFI) a tenu sa plénière de juin 2026 à Paris du 17 au 19 juin. Lorsque les résultats ont été publiés le 19 juin, le message était sans ambiguïté : l'Irak et la Bosnie-Herzégovine ont été ajoutés à la liste grise du GAFI. L'Algérie et la Namibie en ont été retirés. Le nombre total de juridictions sous surveillance renforcée s'établit désormais à 22.

Pour la plupart des équipes conformité, une mise à jour de la liste grise ressemble à une formalité réglementaire. Elle ne devrait pas l'être. Deux juridictions importantes ont rejoint la liste dans le même cycle. La nouvelle présidence britannique du GAFI a fait de la lutte contre la fraude sa priorité principale. Et une consultation publique sur la transparence des paiements — avec des implications directes sur la surveillance des transactions transfrontalières — a été ouverte la même semaine.

Cette mise à jour mérite d'être traitée avant la fin de l'été.

Ce que Signifie Réellement la Liste Grise du GAFI

La liste grise du GAFI — formellement, les « Juridictions sous surveillance renforcée » — ne comporte pas de sanctions légales. Ce n'est pas une liste noire et elle n'interdit pas les activités commerciales. Elle identifie les pays qui se sont engagés à remédier à des lacunes identifiées dans leurs dispositifs de lutte contre le blanchiment de capitaux, le financement du terrorisme et la prolifération.

L'effet pratique est que les entités régulées doivent intégrer les juridictions inscrites sur la liste grise dans leurs évaluations du risque pays et, lorsque l'évaluation le justifie, appliquer une vigilance renforcée ou un suivi continu renforcé.

Cette distinction est fondamentale. La vigilance renforcée n'est pas automatique du seul fait de l'inscription sur la liste grise. La liste constitue un élément d'une évaluation fondée sur les risques, non un déclencheur automatique. La désengagement systématique — refuser de traiter avec tout client lié à un pays de la liste grise, sans fondement documenté — constitue en soi un manquement à la conformité.

Ce que les équipes conformité doivent faire, c'est mettre à jour leurs dispositifs :

  • Modèles de notation du risque pays
  • Évaluations institutionnelles des risques (EWRA)
  • Seuils de déclenchement de la vigilance simple et renforcée
  • Paramètres de risque géographique dans la surveillance des transactions
  • Calendriers de révision du suivi continu pour les clients existants exposés

Les lignes directrices de l'AMLA sur la surveillance continue établissent que les changements de risque juridictionnel doivent se répercuter sur les évaluations du risque au niveau du client — non comme un événement ponctuel, mais dans le cadre d'un cycle de surveillance continue.

L'Irak : Pourquoi Cet Ajout Est Significatif

L'Irak est l'une des plus grandes juridictions à avoir rejoint la liste grise du GAFI ces dernières années, avec une population d'environ 48 millions d'habitants et une présence économique régionale soutenue par les exportations pétrolières, les envois de fonds et un secteur bancaire formel en expansion.

La décision du GAFI reflète des lacunes stratégiques identifiées dans plusieurs domaines à risque. Les établissements financiers ayant une exposition à des clients irakiens, des relations de correspondance avec des banques irakiennes ou des flux de transactions via des centres financiers du Golfe acheminant des opérations irakiennes devraient traiter cet ajout comme matériellement significatif.

Secteur Principal facteur de risque
Paiements pétroliers Structurés via des chaînes de correspondance ; le suivi du bénéficiaire est complexe
Envois de fonds Canaux informels à fort volume ; les réseaux hawala restent documentés
Immobilier Structures de détention offshore fréquentes ; vérification des bénéficiaires effectifs complexe
Actifs virtuels Adoption crypto en hausse ; Travel Rule UE applicable à tous les transferts liés à l'Irak

Pour les prestataires de services sur crypto-actifs, cet ajout interagit directement avec les obligations de la Travel Rule. Le cadre Travel Rule MiCA exige des données d'identité vérifiées sur le donneur d'ordre et le bénéficiaire pour chaque transfert, quel que soit le montant. Une juridiction inscrite sur la liste grise élève le risque client au niveau du compte, ce qui doit se répercuter sur les seuils de surveillance au niveau de la transaction.

La Bosnie-Herzégovine : La Complexité Européenne

La Bosnie-Herzégovine présente un profil de risque différent. C'est un pays candidat à l'adhésion à l'UE, fortement intégré économiquement à l'Europe — deux facteurs qui rendent son inscription sur la liste grise politiquement sensible et opérationnellement complexe pour les établissements financiers européens.

Les lacunes identifiées par le GAFI concernent des faiblesses dans le cadre institutionnel LBC/FT du pays, non des volumes documentés élevés de produits criminels. Mais l'inscription requiert tout de même une action des entités régulées exposées à la région, notamment dans :

  • Les flux de financement commercial en Europe du Sud-Est
  • Les transactions immobilières impliquant des bénéficiaires effectifs bosniens
  • Les relations de correspondance avec des établissements financiers bosniens
  • Les structures d'investissement liées aux corridors économiques UE-Bosnie

Les entités réglementées dans l'UE font face à une obligation de conformité à plusieurs niveaux. Les lignes directrices de l'AMLA sur les facteurs de risque — faisant partie des 23 mesures de niveau 2/3 attendues pour le 10 juillet 2026 — abordent spécifiquement les facteurs de risque géographique et exigent que les évaluations du risque pays soient mises à jour lorsque le paysage des risques évolue.

Algérie et Namibie : Ce que Leur Retrait Implique

Le retrait de l'Algérie et de la Namibie de la liste grise est l'autre face du même événement de conformité. Les deux pays ont complété des visites sur place concluantes démontrant des progrès significatifs dans leurs plans d'action. Pour les entités qui avaient appliqué des mesures renforcées à ces juridictions spécifiquement en réponse à leur inscription, le retrait déclenche un processus de révision.

La procédure correcte ne consiste pas à désescalader automatiquement :

  1. Documenter le retrait et mettre à jour le modèle de risque pays
  2. Revoir les clients pour lesquels la DDC renforcée avait été appliquée en raison de la liste grise
  3. Déterminer si les mesures renforcées restent justifiées par d'autres facteurs de risque
  4. Mettre à jour l'EWRA et les déclarations d'appétit pour le risque
  5. Documenter chaque étape à des fins d'audit

Retirer une juridiction de la surveillance renforcée sans révision documentée des profils de risque individuels est aussi problématique que de ne pas avoir appliqué la DDC renforcée.

La Nouvelle Présidence Britannique du GAFI : Ce qu'elle Signale

La plénière de juin 2026 était la dernière sous la présidence mexicaine. Giles Thomson, du Royaume-Uni, prend les rênes depuis le 1er juillet 2026, pour un mandat de deux ans jusqu'en juin 2028. Les priorités déclarées de la présidence britannique ont des implications directes pour les entités réglementées.

La fraude, notamment les centres d'escroquerie

La fraude est la priorité principale. La présidence britannique se concentrera sur le renforcement de la réponse internationale à la criminalité financière liée aux centres d'escroquerie — des opérations organisées à grande échelle combinant ingénierie sociale, identité synthétique et blanchiment via des canaux informels. Pour les programmes KYC, cela signale un contrôle réglementaire accru des dispositifs d'entrée en relation qui détectent les flux financiers liés à la fraude.

Le lien entre la fraude à l'identité synthétique et le blanchiment de capitaux ne cesse de croître. La fraude à l'identité synthétique représente déjà 3,1 milliards de dollars par an rien qu'aux États-Unis, et elle se retrouve désormais au cœur du programme de la présidence entrante du GAFI.

Renforcer l'approche fondée sur les risques

L'approche fondée sur les risques est le principe fondateur du GAFI et aussi celui le plus inégalement appliqué. L'accent mis par la présidence britannique sur ce point signale un rejet continu de deux défaillances : le surconformité (désengagement systématique sans évaluation documentée) et le non-conformité nominale (cadres de risque non calibrés sur le comportement réel des clients).

Partage d'informations et partenariats public-privé

Un partage plus approfondi du renseignement entre les établissements financiers et les forces de l'ordre est une priorité déclarée. Cela accroît la valeur des données KYC structurées et maintenues en continu. Les entités disposant de dossiers d'identité bien organisés et à jour seront mieux positionnées à mesure que les obligations de partage s'étendront.

La Consultation sur la Recommandation 16

La plénière a approuvé une consultation publique sur les orientations actualisées de la Recommandation 16 du GAFI — la norme de transparence sur les virements et les paiements électroniques. La consultation a été ouverte la semaine du 22 juin 2026.

La Recommandation 16 exige que certaines informations d'identification accompagnent les virements et les paiements électroniques. Les orientations actualisées portent sur l'infrastructure de paiements modernes, avec la fraude comme préoccupation principale.

Pour les équipes conformité, voici ce que cette consultation signale :

  • Banque correspondante : des exigences plus détaillées de vérification du bénéficiaire sont probables
  • Travel Rule crypto : pression d'alignement entre la norme GAFI et les juridictions maintenant des seuils minimaux
  • Systèmes de paiements instantanés : évaluation de l'adéquation des contrôles existants aux nouvelles infrastructures

La direction est claire : davantage de données d'identité vérifiées accompagnant les paiements, non moins. Les Agents IA de Joinble sont conçus pour cette architecture — maintenant des dossiers d'identité vérifiés et structurés, toujours à jour et prêts à accompagner les transactions.

La Liste de Contrôle de Conformité

Dans les deux prochaines semaines :

  • Mettre à jour la notation du risque pays pour l'Irak et la Bosnie-Herzégovine
  • Documenter le retrait de l'Algérie et de la Namibie dans l'EWRA
  • Identifier les portefeuilles clients existants exposés aux quatre juridictions concernées

Dans les 30 prochains jours :

  • Compléter les réévaluations du risque au niveau des clients pour les relations les plus exposées
  • Mettre à jour les paramètres de risque géographique dans la surveillance des transactions
  • Informer les chargés de clientèle des changements de la liste grise et de leurs implications

Dans les 90 prochains jours :

  • Intégrer les priorités de lutte contre la fraude de la présidence britannique dans la revue annuelle de la politique LCB
  • S'inscrire à la consultation sur la Recommandation 16 si pertinent
  • Mettre à jour la documentation des procédures DDC pour refléter la liste grise actuelle de 22 juridictions

FAQ

L'inscription sur la liste grise du GAFI impose-t-elle automatiquement une vigilance renforcée ? Non. L'inscription est un élément d'une évaluation fondée sur les risques, non un déclencheur automatique. Les entités doivent mettre à jour leurs modèles de risque pays et appliquer des mesures renforcées uniquement lorsque leur évaluation documentée le justifie. Le désengagement systématique basé uniquement sur le statut de liste grise constitue un problème de conformité en soi.

Quels secteurs sont les plus affectés par l'ajout de l'Irak ? Les domaines à risque le plus élevé sont la banque correspondante avec des banques irakiennes, les flux d'envois de fonds, l'immobilier avec des bénéficiaires effectifs irakiens et les transferts d'actifs virtuels liés à l'Irak. Les chaînes de paiement pétrolier avec des correspondants dans le Golfe méritent également une attention renforcée.

Que doivent faire les entités concernant leurs clients existants d'Algérie et de Namibie ? Documenter le retrait, puis revoir les profils de risque individuels. La DDC renforcée appliquée spécifiquement en raison de la liste grise doit être formellement réévaluée. Si d'autres facteurs de risque justifient des mesures maintenues, il convient de les conserver avec la justification documentée.

Comment la liste grise affecte-t-elle spécifiquement les CASPs ? Pour les CASPs soumis à la Travel Rule, les juridictions inscrites sur la liste grise élèvent les scores de risque clients, ce qui doit se répercuter sur les seuils de surveillance des transactions. Dans le cadre du TFR MiCA, les transferts liés à des contreparties à risque plus élevé peuvent nécessiter des étapes de vérification supplémentaires.

Quelle est la signification de la priorité accordée à la fraude par la présidence britannique ? Le mandat de deux ans du Royaume-Uni oriente les programmes de recherche, d'évaluations mutuelles et d'orientations du GAFI. Un agenda centré sur la fraude signifie que les prochains rapports de typologies et documents d'orientation aborderont de plus en plus l'intersection de la fraude, du blanchiment et de la criminalité financière basée sur l'identité.

Qu'implique la consultation sur la Recommandation 16 pour les équipes conformité paiements ? Elle signale que le GAFI entend mettre à jour sa norme sur les virements pour l'adapter aux systèmes de paiement modernes, avec la fraude comme préoccupation principale. Les équipes doivent suivre l'évolution et évaluer si leurs contrôles actuels d'identification des paiements répondront aux nouvelles attentes.

Emily CarterEmily Carter
Partager

Articles connexes

KYC Perpétuel : La Vérification Unique Est Morte
Conformité02 Jul, 2026

KYC Perpétuel : La Vérification Unique Est Morte

Le KYC perpétuel remplace les révisions annuelles par une surveillance continue. Les lignes directrices de l'AMLA de juillet 2026 en font une obligation légale.

Amende AML d'Ikano Bank : Les Lacunes DDR Que Tout KYC Doit Corriger
Conformité29 Jun, 2026

Amende AML d'Ikano Bank : Les Lacunes DDR Que Tout KYC Doit Corriger

La Finansinspektionen a infligé à Ikano Bank une amende de 140 MSEK en juin 2026. Ces quatre lacunes en due diligence définissent ce que les régulateurs européens recherchent désormais.

GENIUS Act : Ce que les Émetteurs de Stablecoins Doivent Faire
Conformité25 Jun, 2026

GENIUS Act : Ce que les Émetteurs de Stablecoins Doivent Faire

La règle proposée par FinCEN en juin 2026 impose aux émetteurs de stablecoins des programmes KYC de niveau bancaire. Voici ce que le GENIUS Act change.