Beancount.io LogoBeancount.io

Conformité aux sanctions de l'OFAC pour les petites entreprises : filtrage SDN, règle des 50 % et divulgation volontaire

18 minutes de lectureMike ThriftMike Thrift
Conformité aux sanctions de l'OFAC pour les petites entreprises : filtrage SDN, règle des 50 % et divulgation volontaire

Un fabricant de guitares californien vendant des instruments en ligne a récemment payé 41 591 pourreˊglerdesaccusationsdelOFAC.Lemaximumleˊgalauquelilfaisaitface?3313224pour régler des accusations de l'OFAC. Le maximum légal auquel il faisait face ? 3 313 224 — environ quatre-vingt fois plus. La différence s'est jouée sur une seule décision : l'entreprise a volontairement divulgué les violations avant que les régulateurs ne les découvrent.

Ce ratio résume toute l'histoire de l'application des sanctions en 2026. L'Office of Foreign Assets Control (OFAC) du département du Trésor ne s'attaque plus uniquement aux banques de Wall Street. Investisseurs immobiliers, startups de la fintech, vendeurs en ligne, importateurs d'instruments de musique et fournisseurs de portefeuilles crypto ont tous figuré sur la liste des sanctions au cours des dix-huit derniers mois. La pénalité civile maximale en vertu de l'International Emergency Economic Powers Act (IEEPA) s'élève désormais à 377 700 $ par violation — ou le double de la valeur de la transaction, selon le montant le plus élevé — et l'OFAC applique une responsabilité stricte, ce qui signifie que l'intention n'est pas requise.

Si votre entreprise a des clients, des fournisseurs ou des contreparties de paiement en dehors des États-Unis — ou même à l'intérieur — vous êtes déjà exposé. Voici à quoi ressemble un programme OFAC efficace pour une entreprise qui ne dispose pas d'un département de conformité dédié.

Pourquoi les petites entreprises sont soudainement dans le collimateur de l'OFAC

Pendant la majeure partie de l'histoire de l'OFAC, l'application s'est concentrée sur les banques. Cela a changé au cours des cinq dernières années. L'agence a ouvertement déclaré que l'application de la loi allait « s'éloigner des services bancaires traditionnels pour s'orienter vers de nouveaux secteurs à haut risque, tels que la fintech et les crypto-monnaies », et les actions récentes le confirment :

  • Exodus Movement (portefeuille crypto) : plus de 254 violations apparentes des règlements sur les transactions et les sanctions iraniennes, dont 12 flagrantes et non divulguées volontairement
  • Poloniex : règlement de 7,6 millions de dollars
  • Payoneer : règlement de 1,5 million de dollars
  • BitPay : règlement de 507 375 $
  • Kraken : règlement de 362 158 $
  • Un investisseur immobilier individuel : pénalité civile de 4,7 millions de dollars
  • Année 2026 à ce jour sur seulement trois actions d'exécution publiées : 6 607 661 $

Le modèle est clair. Toute entreprise qui manipule de l'argent, des biens ou des services au-delà des frontières — ou qui héberge même un site Web qu'une personne sanctionnée peut payer — a besoin d'un programme de sanctions. Cela inclut les boutiques Shopify, les entreprises SaaS facturant des clients à l'international, les plateformes de freelances, les processeurs de paiement, les bourses de crypto-monnaies, les agences immobilières percevant des loyers de propriétaires étrangers et les cabinets comptables accueillant des clients détenant des actifs offshore.

Ce que l'OFAC restreint réellement

L'OFAC administre plus de trente programmes de sanctions distincts. Ils se répartissent en deux grandes catégories.

Embargos globaux (interdictions totales par pays)

En 2026, quatre pays font face à des interdictions quasi totales de commerce, de transactions financières et de services avec des personnes américaines :

  • Cuba
  • Iran
  • Corée du Nord (RPDC)
  • Syrie

Les régions ukrainiennes occupées de Crimée, Donetsk et Louhansk tombent également sous le coup de sanctions globales. Faire des affaires dans ou avec ces juridictions nécessite une licence spécifique de l'OFAC — sinon, vous violez la loi.

Sanctions ciblées et sectorielles

La Russie est aujourd'hui le pays le plus lourdement sanctionné au monde, mais elle n'est pas sous un embargo global. Au lieu de cela, l'OFAC a superposé des interdictions ciblées dans les secteurs de l'énergie, de la finance, de la défense et de la technologie, ainsi que des milliers de désignations d'individus et d'entités. Le Venezuela, la Biélorussie et le Myanmar font également l'objet de régimes ciblés importants.

En plus des programmes par pays, l'OFAC maintient des listes de sanctions ciblant les trafiquants de drogue, les terroristes, les auteurs de violations des droits de l'homme, les cyberacteurs et les fonctionnaires étrangers corrompus, indépendamment de leur nationalité.

Les listes de sanctions que vous devez réellement filtrer

Dire « nous vérifions la liste SDN » est le raccourci de conformité le plus courant — et l'échec de conformité le plus courant. L'OFAC publie plusieurs listes, et en sauter une seule est le meilleur moyen de cumuler les pénalités.

ListeCe qu'elle couvreQuand vous devez bloquer
Specially Designated Nationals (SDN) ListIndividus, entités, navires et aéronefs. Les biens des SDN doivent être bloqués.Toujours
Consolidated Sanctions ListUn fichier maître regroupant toutes les listes non-SDNToujours
Sectoral Sanctions Identifications (SSI) ListCibles des secteurs russe de l'énergie, de la finance et de la défenseDépend de la directive
Foreign Sanctions Evaders (FSE) ListPersonnes qui aident à contourner les sanctions américainesToujours
Non-SDN Menu-Based Sanctions (NS-MBS) ListMesures ciblées, souvent sous CAATSASelon l'élément de menu appliqué
Palestinian Legislative Council (NS-PLC) ListMembres du PLC ayant participé aux électionsToujours pour le blocage

Vous pouvez effectuer des recherches gratuites dans toutes ces listes à l'aide de l'outil de recherche de listes de sanctions de l'OFAC (sanctionssearch.ofac.treasury.gov), mais cet outil gratuit est conçu pour des recherches ponctuelles, et non pour un filtrage en masse. Les environnements de production utilisent des fournisseurs de filtrage commerciaux, des API automatisées ou des outils internes qui ingèrent les fichiers de mise à jour quotidienne publiés par l'OFAC.

La règle des 50 % : Pourquoi la correspondance de noms ne suffit pas

Voici la règle qui prend presque toutes les entreprises au dépourvu :

Toute entité détenue à 50 % ou plus — directement, indirectement ou globalement — par une ou plusieurs personnes bloquées est elle-même bloquée, même si elle ne figure sur aucune liste de l'OFAC.

Deux implications sont cruciales :

  1. L'agrégation entre les SDN compte. Si le SDN A détient 30 % d'une société holding aux Caïmans et que le SDN B en détient 25 %, cette société holding est bloquée — même si aucun des propriétaires n'atteint individuellement les 50 %.
  2. La propriété indirecte compte. Une participation de 60 % d'une personne cible dans une société mère qui détient elle-même 60 % d'une filiale rend la filiale bloquée, même si le calcul direct de la chaîne (60 % × 60 % = 36 %) suggère le contraire. L'OFAC traite la société mère comme étant entièrement bloquée, ce qui signifie que sa pleine propriété de la filiale est transmise.

C'est pourquoi le simple filtrage par nom échoue. Un fournisseur nommé « Atlas Logistics LLC » n'apparaîtra pas sur la liste SDN. Mais si ses bénéficiaires effectifs ultimes sont des oligarques russes sanctionnés détenant 51 % globalement via trois couches de sociétés écrans, vous vous apprêtez à violer la législation américaine sur les sanctions en payant leur facture.

Réponses pratiques pour les petites entreprises :

  • Exiger la divulgation du bénéficiaire effectif de la part des fournisseurs et des clients à forte valeur, idéalement liée à une certification UBO (Ultimate Beneficial Owner).
  • Utiliser un fournisseur de filtrage qui analyse les relations de propriété, et pas seulement les noms.
  • Pour les contreparties dans des juridictions à haut risque (îles Vierges britanniques, Caïmans, EAU, Chypre, Hong Kong, Russie, structures transfrontalières Chine-Hong Kong), demander des extraits du registre du commerce jusqu'au niveau de la personne physique.
  • Refaire le filtrage périodiquement, pas seulement lors de l'intégration — l'OFAC ajoute de nouveaux SDN chaque semaine.

Les cinq piliers de l'OFAC : À quoi doit ressembler un programme de conformité

Le Trésor a publié son Framework for OFAC Compliance Commitments (Cadre pour les engagements de conformité de l'OFAC) pour préciser ce que contient un programme de conformité aux sanctions (SCP) « efficace ». Il comprend cinq composantes, et l'OFAC évalue explicitement chacune d'elles lors du calcul des sanctions pécuniaires.

1. Engagement de la direction

La haute direction doit approuver le programme et lui allouer des ressources. Pour une petite entreprise, cela signifie que le fondateur, le PDG ou le directeur financier signe la politique écrite, nomme un responsable de la conformité et examine l'efficacité du programme au moins une fois par an. Une signature symbolique ne suffit pas ; l'OFAC attend des preuves de l'implication des dirigeants.

2. Évaluation des risques

Documentez les risques spécifiques de l'OFAC auxquels votre entreprise est confrontée. Une société SaaS vendant à l'échelle mondiale a des expositions différentes d'une société immobilière nationale ou d'un processeur de paiements transfrontaliers. L'évaluation doit couvrir :

  • La base de clients — géographie, secteurs d'activité, modèles de bénéficiaires effectifs.
  • Les produits et services — tout ce qui est acheminé de manière transfrontalière ou libellé dans une devise autre que le dollar américain (USD).
  • Les canaux de distribution — direct, places de marché, revendeurs tiers, affiliés.
  • L'empreinte géographique — juridictions où opèrent les clients, fournisseurs, employés ou contreparties.
  • Les partenaires et intermédiaires — agents, courtiers, processeurs de paiement.

Mettez à jour l'évaluation lorsque votre modèle d'affaires change — un nouveau marché, un nouveau canal de paiement, un nouveau canal d'acquisition.

3. Contrôles internes

C'est ici que le programme devient opérationnel. Les contrôles internes comprennent :

  • Des politiques et procédures écrites.
  • Un flux de travail de filtrage documenté (quand filtrer, quelles listes, quels seuils, qui examine les correspondances).
  • Des voies d'escalade claires lorsqu'une correspondance potentielle apparaît.
  • La tenue de registres — l'OFAC exige cinq ans d'enregistrements de transactions et de filtrage pour les transactions bloquées ou rejetées.
  • Un mécanisme de blocage — des comptes bancaires capables de mettre des fonds en quarantaine, des systèmes de commande capables de geler l'exécution.
  • Des flux de travail de signalement pour le dépôt des rapports obligatoires (rapports annuels sur les biens bloqués avant le 30 septembre, rapports initiaux sur les transactions bloquées ou rejetées dans les dix jours ouvrables).

4. Tests et audits

Des tests indépendants vérifient que le programme fonctionne réellement. Pour une petite entreprise, cela peut être un auto-test trimestriel (passer des noms SDN fictifs dans votre outil de filtrage) complété par un examen externe annuel. Les conclusions doivent être documentées et corrigées.

5. Formation

Tous les employés dont les fonctions touchent au risque de sanctions doivent être formés — équipes de vente, d'intégration des clients, des finances, de comptabilité clients/fournisseurs, de gestion des fournisseurs et les équipes d'ingénierie qui élaborent la logique de filtrage. L'OFAC attend une formation au moins annuelle, ainsi qu'une formation spécifique au rôle lors du lancement d'un nouveau programme ou de l'entrée en vigueur d'un nouveau programme de sanctions.

Quand vous trouvez une correspondance : La décision de bloquer ou de rejeter

La découverte d'une correspondance apparente lors du filtrage déclenche une série d'obligations strictes.

Étape 1 : Confirmer la correspondance. Les faux positifs sont courants — « John Smith » et « Vladimir Petrov » génèrent tous deux de nombreux résultats. Utilisez la date de naissance, l'adresse, le numéro de passeport, le lieu d'activité et toute autre donnée d'identification publiée par l'OFAC.

Étape 2 : Si confirmée, décider s'il faut bloquer ou rejeter.

  • Bloquer lorsque la cible figure sur la liste SDN ou est détenue à 50 % ou plus par un SDN — vous devez geler les biens/fonds dans un compte séparé portant intérêt et faire un rapport dans les dix jours ouvrables.
  • Rejeter lorsque la transaction est interdite mais qu'aucun bien d'un SDN n'est impliqué (par exemple, une transaction non autorisée avec l'Iran pour laquelle l'argent n'a pas encore été envoyé) — vous refusez de traiter la transaction et faites un rapport dans les dix jours ouvrables.

Étape 3 : Déposer les rapports. Les rapports initiaux sur les transactions bloquées ou rejetées sont transmis à l'OFAC via le portail OFAC Reporting and License Application Forms. Les rapports annuels sur les biens bloqués sont dus au plus tard le 30 septembre de chaque année. Le défaut de déclaration constitue en soi une violation distincte.

Étape 4 : Demander une licence si nécessaire. De nombreuses transactions qui seraient autrement interdites peuvent être autorisées dans le cadre d'une licence spécifique ou générale — biens humanitaires, certains envois de fonds personnels, exportations agricoles et médicales, journalisme, services de communication Internet.

La décision de divulgation volontaire

Lorsque vous découvrez qu'une violation a déjà eu lieu — un paiement a été compensé vers une contrepartie sanctionnée avant que le filtrage ne l'intercepte, une expédition est partie vers une juridiction bloquée, un client détenu par une SDN a été intégré par erreur — vous faites face à la décision la plus importante en matière de conformité OFAC.

Divulguer ou non ?

Ce que la divulgation volontaire (VSD) vous apporte

Selon les directives d'application des sanctions économiques de l'OFAC (31 CFR Partie 501, Annexe A), une VSD éligible :

  • Réduit le calcul de la pénalité de base de 50 % dans les cas flagrants comme non flagrants
  • Dans les cas non flagrants, plafonne le montant de base à la moitié de la valeur de la transaction, avec un plafond de 188 850 $ par violation
  • Compte comme un facteur atténuant majeur dans la détermination globale de la pénalité par l'OFAC

Combiné à d'autres facteurs atténuants — programme de conformité solide, mesures correctives, coopération — le règlement final peut s'avérer inférieur d'un ordre de grandeur au maximum statutaire. Le cas du Córdoba Music Group (maximum statutaire 3,3 M$, règlement 41 591 $) est illustratif.

Ce que signifie réellement « volontaire »

Une divulgation n'est « volontaire » que si elle est auto-initiée et effectuée avant que l'OFAC ou une autre agence fédérale, d'État ou locale ne découvre la violation apparente ou une violation « substantiellement similaire ». Si la banque d'une contrepartie a déjà déposé un SAR (rapport d'activité suspecte) mentionnant votre transaction, votre divulgation peut ne pas être éligible. Si un concurrent ou un lanceur d'alerte vous a déjà dénoncé, elle ne sera pas éligible.

C'est pourquoi la rapidité est essentielle. Dès que vous soupçonnez une violation, lancez le compte à rebours.

Le nouveau portail VSD 2026

En février 2026, l'OFAC a lancé un portail de divulgation volontaire en ligne sur disclosure.ofac.treasury.gov. Il remplace la mosaïque de soumissions par e-mail et par fax qui a dominé pendant des décennies. Le portail offre un canal plus sécurisé, des champs structurés et une confirmation de réception — mais les règles de fond n'ont pas changé :

  • Une notification initiale décrit ce qui s'est passé sous forme de résumé
  • Un rapport de suivi détaillé est dû dans les 180 jours, couvrant la cause profonde, la portée, les mesures correctives et le personnel impliqué

Les entreprises doivent toujours impliquer un conseiller juridique avant la soumission initiale. Le portail ne change pas les enjeux juridiques ; il change simplement le service du courrier.

Calcul des pénalités : à quoi vous êtes réellement exposé

En vertu de l'IEEPA (la loi régissant la plupart des programmes de sanctions modernes), les pénalités civiles par violation pour 2026 sont :

  • Maximum statutaire : 377 700 $ (ajusté annuellement en fonction de l'inflation)
  • Ou le double de la valeur de la transaction, selon le montant le plus élevé

Chaque transaction peut constituer une violation distincte. Un seul client qui passe quarante commandes sur deux ans représente quarante violations.

Le calcul de la pénalité de l'OFAC se déroule en trois étapes :

  1. Montant de base — dépend de la gravité du cas (flagrant ou non), de l'application de la VSD et de la valeur de la transaction (barème statutaire)
  2. Ajustements — pour les facteurs aggravants (intention, connaissance, préjudice aux objectifs du programme de sanctions, partie sophistiquée, absence de programme de conformité) et les facteurs atténuants (coopération, mesures correctives, première violation, petite taille, situation financière)
  3. Pénalité finale proposée — émise dans un avis de pré-pénalité (Pre-Penalty Notice), que le sujet peut contester

Les pénalités pénales s'ajoutent pour les violations délibérées : jusqu'à 1 million de dollars par violation et jusqu'à vingt ans de prison pour les individus.

Une liste de contrôle pratique de conformité pour les petites entreprises

Utilisez ceci comme point de départ. Ce n'est pas un substitut à un conseil juridique, mais cela couvre ce que l'agence a souligné à plusieurs reprises dans les conclusions d'application publiées.

Fondation

  • Politique écrite de conformité aux sanctions signée par la direction
  • Responsable de la conformité désigné (peut être un fondateur ou un CFO ; ne laissez pas le rôle non attribué)
  • Évaluation des risques documentée, mise à jour en cas de changement important de l'activité
  • Inventaire de toutes les juridictions et personnes sanctionnées pertinentes pour votre entreprise

Filtrage

  • Tous les clients, fournisseurs, bénéficiaires et contreparties filtrés lors de l'intégration
  • Filtrage quotidien ou hebdomadaire par rapport aux listes SDN/Consolidated/SSI mises à jour
  • Divulgation du bénéficiaire effectif requise pour les contreparties à haut risque
  • Procédure documentée pour évaluer les correspondances potentielles (faux positifs vs vrais positifs)
  • Filtrage par géolocalisation/IP pour les juridictions sous embargo connues sur les plateformes web

Transactions

  • Arbre de décision bloquer ou rejeter, avec une autorité claire pour arrêter l'exécution
  • Compte rémunéré séparé prêt pour tout fonds bloqué
  • Flux de travail de demande de licence OFAC pour les transactions éligibles

Tenue des registres et rapports

  • Conservation pendant cinq ans des registres de filtrage et des registres de transactions
  • Rapports initiaux de transactions bloquées/rejetées déposés dans les dix jours ouvrables
  • Rapports annuels sur les biens bloqués déposés avant le 30 septembre
  • Piste d'audit pour chaque correspondance de filtrage et décision

Tests et formation

  • Auto-tests trimestriels (données factices passées dans l'outil de filtrage)
  • Examen indépendant annuel (conseiller externe ou consultant en conformité)
  • Formation annuelle pour tous les employés concernés, participation documentée

Réponse aux incidents

  • Conseiller externe pré-identifié familier avec les questions relatives à l'OFAC
  • Protocole de décision VSD documenté — qui prend la décision, quelles preuves la déclenchent, qui rédige la soumission

Erreurs courantes déclenchant des mesures d'exécution

Les schémas issus des pénalités publiées par l'OFAC incluent presque toujours un ou plusieurs de ces éléments :

  1. « Nous filtrons uniquement la liste SDN. » L'omission des listes Consolidated, SSI, FSE ou NS-MBS est une constatation fréquente.
  2. Filtrage statique. Les vérifications effectuées uniquement lors de l'intégration échouent car les listes SDN changent chaque semaine. Un client dont le filtrage était négatif en janvier peut être sanctionné en juin.
  3. Ignorer les bénéficiaires effectifs. Le nom d'une contrepartie peut sembler correct alors que le propriétaire à 60 %, situé deux niveaux au-dessus, fait l'objet de sanctions.
  4. Failles de géofencing. Une plateforme web bloque les adresses IP en provenance d'Iran mais laisse le trafic VPN circuler sans contrôle ; l'OFAC a cité ce point dans des dossiers de fintech.
  5. Absence de procédure documentée pour les correspondances potentielles. Les employés en contact avec la clientèle portent des jugements ad hoc sans directives de remontée d'information.
  6. Défaut de dépôt des rapports requis. Même lorsque la transaction sous-jacente a été correctement bloquée, l'oubli du rapport de dix jours ou de la déclaration annuelle du 30 septembre constitue une violation en soi.
  7. Formation inadéquate. Le personnel de vente promet des services à des juridictions sous embargo parce qu'il n'a jamais reçu de formation sur l'OFAC.
  8. Divulgation tardive. Temporiser sur une violation découverte pendant qu'une autre agence la met au jour de manière indépendante — perdant ainsi l'éligibilité au VSD (Voluntary Self-Disclosure) et la réduction de pénalité de 50 %.

Gardez vos registres financiers prêts pour l'OFAC

La conformité aux sanctions repose entièrement sur la documentation. Chaque transaction bloquée, chaque paiement rejeté, chaque décision de filtrage, chaque demande de licence — l'OFAC peut exiger n'importe lequel de ces documents au cours d'une fenêtre d'audit de cinq ans. Un système de comptabilité qui dissimule discrètement ces entrées derrière une interface de grand livre de type « boîte noire » ralentira votre réponse à une assignation.

Beancount.io adopte l'approche opposée : une comptabilité en texte brut où chaque entrée est une ligne lisible, chaque modification est sous contrôle de version, et chaque compte peut être étiqueté pour le type d'activité transfrontalière qui attire l'attention de l'OFAC. Lorsque votre auditeur — ou votre conseiller externe préparant une auto-divulgation volontaire — demande l'historique complet des paiements d'une contrepartie particulière, vous pouvez le produire en quelques minutes, et non en plusieurs jours. Commencez gratuitement et apportez à vos finances la transparence que l'OFAC attend de votre programme de conformité.