Qui supervise FATCA et CRS au Luxembourg ?

L’Administration des contributions directes (ACD) est l’autorité fiscale compétente pour la réception et l’échange d’informations FATCA et CRS. La CSSF supervise les établissements financiers en matière prudentielle, de conduite de marché et de LBC/FT, en coopération avec la Cellule de renseignement financier (CRF). Pour le régime QI, le principal superviseur et cocontractant est l’IRS (États-Unis).

Quelles sanctions peuvent être appliquées en cas de non-conformité ?

Les conséquences possibles incluent des demandes d’information et des corrections imposées par l’ACD, des sanctions et mesures de supervision renforcée par la CSSF, des suites données par la CRF en matière de LBC/FT, ainsi que, du côté américain, des exigences de remédiation supplémentaires ou, dans les cas graves, des restrictions ou la résiliation du statut QI et une éventuelle retenue de 30 % au titre de FATCA sur certains paiements.

Comment réduire le risque de constats négatifs lors de contrôles ?

Il est essentiel de disposer d’un plan annuel de conformité FATCA/CRS/QI, de contrôles robustes sur les NIF/TIN et les GIIN, d’une documentation claire de la data lineage et de tests d’envoi, d’un alignement étroit entre les processus AML/KYC et la classification fiscale, ainsi que d’un dispositif de remédiation rapide, bien documenté et avec des responsabilités clairement attribuées lorsque des défaillances sont identifiées.

Luxembourg — Surveillance et sanctions (FATCA, CRS/AIA & QI)

Dernière mise à jour : 21 novembre 2025

Luxembourg — Surveillance et sanctions

Qui surveille quoi ? Administration des contributions directes (ACD) (FATCA/CRS), CSSF (organisation, gouvernance, supervision prudentielle et de marché), CRF (LBC/FT) et IRS (QI) – vue d’ensemble des domaines de surveillance, des mesures possibles et des constats typiques, y compris les risques de sanctions en cas de non-conformité.

1) Qui surveille quoi ?

Autorité/organisme	Focus principal	Exemples de domaines de contrôle/surveillance
Administration des contributions directes (ACD)	Déclarations FATCA et CRS/AEOI	Exactitude et exhaustivité des fichiers XML, pays et NIF/TIN déclarés, données de GIIN, gestion des déclarations correctives/de remplacement, respect des délais et cohérence avec les autres informations fiscales et de tiers.
CSSF (Commission de Surveillance du Secteur Financier)	Supervision prudentielle, conduite de marché, gouvernance, AML/KYC	Organisation et gouvernance interne, dispositifs de contrôle interne et de conformité, processus d’entrée en relation et de suivi des clients, qualité des données et systèmes d’information, reporting réglementaire et intégration de FATCA/CRS/QI dans le cadre global de gestion des risques et d’appétence au risque.
CRF (Cellule de renseignement financier)	Lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT)	Réception et analyse des déclarations d’opérations suspectes, typologies et retours aux entités déclarantes, articulation avec la CSSF et les autres autorités compétentes en matière de LBC/FT.
IRS	Régime QI (retenue à la source US)	Documentation W-8/W-9 et application du critère « reason-to-know », détermination du bénéficiaire effectif, correcte retenue à la source et déclaration (Forms 1042/1042-S), QI Periodic Review et suivi des constats/certification.

2) Mesures possibles des autorités

ACD Demandes d’informations complémentaires, exigence de déclarations supplémentaires ou rectificatives, contrôles ciblés FATCA/CRS et, le cas échéant, sanctions administratives pour manquements aux obligations déclaratives.
CSSF Injonctions et recommandations de renforcement de la gouvernance, du contrôle interne, de la qualité des données et des dispositifs AML/KYC ; en cas de manquements graves ou répétés, amendes administratives, blâmes publics possibles et mise sous surveillance renforcée.
CRF Exigence de plans de remédiation en matière de LBC/FT, transmission au parquet ou à d’autres autorités compétentes, et participation à l’initiation de procédures sanctionnatrices lorsque des défaillances structurelles sont constatées.
IRS (QI/FATCA) Remediations obligatoires (documentation, withholding, reporting), revues supplémentaires et, dans les cas les plus sérieux, restrictions ou résiliation du statut QI ; dans le cadre FATCA, risque ultime d’une retenue de 30 % sur certains paiements si l’institution est traitée comme Nonparticipating FFI.

3) Constatations typiques (exemples)

Lacunes de NIF/TIN et US-TIN : NIF ou US-TIN manquants ou invalides sans processus de relance structuré et documenté.
Erreurs de GIIN : GIIN obsolètes ou incorrects, écarts par rapport à la liste FFI de l’IRS ou mauvaise classification de certaines entités.
Incohérences de données entre dossiers KYC/AML, reportings FATCA, reportings CRS et documentation QI.
Gouvernance insuffisante : rôles et responsabilités flous, implication limitée des organes d’administration, absence de principe des quatre yeux et gestion des incidents non structurée.
Défauts techniques : erreurs de schema/business rules, corrections déposées hors délai, tests insuffisants après changements de systèmes ou migrations.

4) Risque de sanctions (vue d’ensemble)

Dimension fiscale et déclarative : Risque de contrôles accrus, d’obligations de correction massives, de sanctions pour infractions aux obligations d’échange automatique d’informations (FATCA/CRS) et d’un suivi renforcé lors des campagnes de contrôle ultérieures.
Dimension prudentielle et LBC/FT (CSSF, CRF) : Injonctions, plans d’action obligatoires, sanctions administratives et éventuelles communications publiques lorsque les faiblesses de gouvernance, de contrôle interne ou d’AML/KYC révèlent des risques structurels.
Perspective américaine (QI/FATCA) : Exigence de mesures correctrices supplémentaires, restrictions ou résiliation de l’accord QI en cas de non-conformité grave ou persistante ; et, au titre de FATCA, risque de retenue de 30 % sur certains flux si l’établissement est considéré comme Nonparticipating FFI.

5) Prévention & remédiation

Prévention

Mettre en place un plan annuel de conformité FATCA/CRS/QI avec jalons, responsables et ressources identifiés.
Documenter la data lineage et le mapping entre systèmes sources et champs déclarés ; prévoir des tests d’envoi dans le calendrier projet.
Déployer des contrôles robustes sur NIF/TIN et GIIN (rapprochements périodiques, alertes, campagnes de mise à jour des données clients).
Aligner les processus AML/KYC sur les exigences de classification FATCA/CRS (self-certifications, indicia, gestion du « change in circumstances »).
Organiser des formations régulières pour les équipes Front/KYC, fiscalité, conformité, risques et IT/reporting.

Lorsque des constats existent déjà (internes ou externes)

Mener une analyse de cause-racine rapide et documentée, assortie d’un plan de remédiation concret avec échéances et propriétaires clairement définis.
Assurer un piste d’audit complète : de l’incident identifié jusqu’à la clôture, en passant par les retests et la validation.
Rapprocher les données entre KYC ↔ FATCA ↔ CRS ↔ QI pour corriger les incohérences systémiques.
Évaluer l’opportunité d’une démarche proactive auprès de l’ACD, de la CSSF/CRF ou de l’IRS pour les dossiers particulièrement complexes ou sensibles.

6) Autres pages du hub Luxembourg

Hub Luxembourg : Page d’accueil Luxembourg (QI, FATCA, CRS/AIA)
Cadre réglementaire : Sources juridiques & répartition des compétences
Mécanismes de déclaration : Transmission & aspects techniques (ACD)

Parlez-nous de votre situation Retour au hub Luxembourg

Attention : Les mesures et sanctions concrètes dépendent toujours des faits et circonstances du cas d’espèce. Font foi les textes en vigueur, les circulaires et lignes directrices des autorités luxembourgeoises compétentes ainsi que, pour le régime QI, les dispositions applicables de l’IRS.