La liste SDN (Specially Designated Nationals) de l'OFAC est la liste de sanctions la plus influente au monde. Extraterritoriale, elle s'applique à toute transaction en dollars ou impliquant une entité américaine, même si aucune des parties n'est américaine. Pour les entreprises françaises, l'enjeu est massif : BNP Paribas a payé 8,9 milliards de dollars d'amende OFAC en 2014 pour violation de cette liste. Ce guide détaille l'OFAC, les 3 listes principales, la méthodologie de vérification pas à pas, les pièges (faux positifs, translittérations arabes), un protocole pour PME sans équipe compliance, et 4 questions juridiques fréquentes.
Qu'est-ce que l'OFAC et pourquoi cette liste est extraterritoriale
L'OFAC (Office of Foreign Assets Control) est une agence du Département du Trésor américain créée en 1950. Elle administre et fait appliquer les sanctions économiques et commerciales basées sur la politique étrangère et de sécurité nationale des États-Unis. Son arsenal couvre les programmes anti-terrorisme, anti-prolifération nucléaire, anti-narcotrafic, et les sanctions de pays (Russie, Iran, Corée du Nord, Cuba, Venezuela, Syrie, Myanmar, etc.).
La caractéristique critique de l'OFAC est sa doctrine extraterritoriale, ancrée dans la "doctrine du dollar". Le raisonnement : toute transaction libellée en dollars américains transite à un moment par le système bancaire correspondant américain (banques de New York). Cela suffit à activer la juridiction OFAC, même entre deux entités non-américaines. Ainsi une banque française qui finance une entreprise française pour exporter vers Cuba en dollars est soumise à l'OFAC.
Les 3 listes OFAC principales
SDN List (Specially Designated Nationals)
La SDN est la liste centrale. Elle contient à fin 2025 plus de 12 500 entrées entre personnes physiques, entreprises, navires, aéronefs. Toute transaction avec une entité SDN est interdite sauf licence spécifique. Les biens des SDN sont gelés dans toute juridiction reliée au système financier américain. La SDN est mise à jour plusieurs fois par mois (3-6 mises à jour mensuelles en moyenne en 2024).
SSI List (Sectoral Sanctions Identifications)
Liste de sanctions sectorielles ciblées, principalement sur la Russie depuis 2014. Les entités SSI ne sont pas totalement gelées comme les SDN, mais soumises à des restrictions précises : par exemple, interdiction d'acheter de la dette long terme émise par certaines banques russes, ou interdiction d'investir dans le secteur énergétique russe. Plus complexe à appliquer car les restrictions varient par directive.
NS-MBS et autres listes spécialisées
NS-MBS (Non-SDN Menu-Based Sanctions) : sanctions secondaires créées par le Countering America's Adversaries Through Sanctions Act (CAATSA, 2017). Elles permettent à l'OFAC d'imposer des sanctions à des tiers étrangers (y compris non-américains) ayant des transactions significatives avec certaines entités sanctionnées. Plus rare mais utilisée notamment contre des entreprises chinoises et turques en relation avec l'Iran.
Statistiques 2023-2024
- 1 600+ entités ajoutées à la SDN en 2023 (record historique, principalement sanctions Russie)
- 3-6 mises à jour mensuelles en moyenne
- 50+ programmes de sanctions actifs simultanément (par pays, par thème)
- Amendes 2014-2024 : plus de 25 milliards de dollars cumulés sur les violations OFAC, dont 8,9 Md$ pour BNP Paribas (2014), 1,2 Md$ pour Crédit Suisse (2009), 619 M$ pour ING (2012)
Cas BNP Paribas — la violation à 8,9 milliards de dollars (2014)
Entre 2004 et 2012, BNP Paribas a sciemment effectué des transactions en dollars pour le compte de clients soudanais, iraniens et cubains, en utilisant la technique du "stripping" : retrait des références identifiantes (noms, pays, comptes) des messages SWIFT pour empêcher les filtres de la filiale new-yorkaise de détecter l'origine des fonds. Le montant total des transactions ainsi blanchies : 8,8 milliards de dollars sur 8 ans.
En juillet 2014, BNP a accepté de payer 8,9 milliards de dollars d'amende, plaider coupable au pénal, suspendre ses activités USD pendant un an pour le secteur pétrolier, et remplacer plusieurs cadres dirigeants. C'est la plus grosse amende OFAC de l'histoire à ce jour.
Leçon pour les PME : on pense souvent que ces sanctions ne touchent que les grandes banques. C'est faux. Toute PME qui effectue un virement en dollars vers une contrepartie OFAC s'expose au même risque proportionnel. Une amende OFAC peut atteindre 2× le montant de la transaction violante. Une PME qui exécute par négligence un virement de 100 000 $ à un sanctionné peut se voir infliger 200 000 $ d'amende — sans compter l'exclusion bancaire qui s'ensuit.
Méthodologie de vérification pas à pas
1. Collecter les identifiants à vérifier
Pour chaque contrepartie : nom complet (entreprise + dirigeants), date de naissance des personnes physiques, nationalité, aliases connus (notamment en cyrillique/arabe), adresse, numéros d'identification (passeport, immatriculation maritime, etc.).
2. Croiser avec OpenSanctions ou OFAC API directe
Deux options : (a) utiliser OpenSanctions, qui agrège la SDN + 200 autres listes en une base normalisée, ou (b) interroger directement l'API OFAC SDN. Pour une entreprise française qui veut une vue consolidée mondiale (UE, ONU, OFSI en plus), OpenSanctions est plus pratique.
3. Gérer les variantes orthographiques (fuzzy matching)
Les noms d'entités russes ou arabes ont souvent plusieurs translittérations. "Mohammed" peut être écrit Mohamed, Mohamad, Muhammad, Muhammed. "Yevgeny Prigozhin" peut être Evgeniy, Yevgeniy, Eugene. Un fuzzy matching avec algorithme Levenshtein + tokens partiels est nécessaire pour ne pas rater un match.
4. Vérifier les bénéficiaires effectifs et les sociétés liées
L'OFAC sanctionne par effet de transitivité : si une entité est détenue à 50 %+ par un sanctionné SDN, elle est elle-même sanctionnée (règle "50 % rule"). Il faut donc tracer la cascade capitalistique jusqu'aux personnes physiques terminales et croiser chacune.
5. Documenter chaque vérification
Date, heure, sources interrogées, résultat (match / no match), identité du vérificateur. En cas de contrôle OFAC ou réclamation client, c'est cette traçabilité qui prouve la diligence.
Pièges courants à éviter
- Faux positifs sur noms communs — "Ahmed Hassan" donne des dizaines de matches potentiels. Croiser avec date de naissance, nationalité, ville pour disqualifier les homonymes.
- Translittérations arabes — Le même nom arabe peut s'écrire de 5-6 façons en alphabet latin. Algorithme de translittération inverse nécessaire.
- Caractères Unicode similaires — Cyrillique "А" vs latin "A" sont visuellement identiques mais binaires différents. Sanitizer les inputs avant comparaison.
- Filiales et sociétés-écrans — Une entité sanctionnée peut opérer via des sociétés-écrans BVI / Panama. Vérifier les bénéficiaires effectifs au niveau ultime.
- Mises à jour ratées — Une vérification effectuée le mois dernier peut être obsolète. Les listes changent plusieurs fois par mois. Une re-vérification au moment du virement est le standard.
Protocole pour une PME sans équipe compliance
- À l'entrée en relation — Croiser le nom de l'entreprise et des dirigeants avec OpenSanctions. Conserver le rapport horodaté.
- Avant tout virement > 10 000 € — Re-vérifier le bénéficiaire si la dernière vérification date de plus de 30 jours.
- À chaque mise à jour OFAC — Re-scanner l'ensemble du portefeuille fournisseurs (typiquement 3-6 fois par mois). Automatisable avec un outil de monitoring.
- En cas de match positif — Suspendre immédiatement la relation, geler les paiements en cours, contacter un avocat spécialisé OFAC, et ne PAS contacter le client (cela pourrait constituer un délit "tipping off").
- Documentation — Conserver tous les rapports de vérification pendant 5 ans minimum.
FAQ — Questions juridiques fréquentes
La liste SDN s'applique-t-elle aux entreprises françaises ?
Oui dans 95 % des cas pratiques. Toute entreprise française qui effectue une transaction en USD est soumise à l'OFAC (doctrine du dollar). Toute entreprise qui exporte vers les USA, qui a des actionnaires américains, ou dont la banque utilise des correspondants américains est également concernée. Concrètement : presque toutes les PME françaises engagées dans le commerce international.
Que faire si mon client apparaît sur la SDN ?
Ne pas paniquer mais agir vite : (1) vérifier qu'il s'agit bien d'un match (pas d'un homonyme — croiser DOB, nationalité, adresse), (2) suspendre tous les flux en cours sans contacter le client, (3) consulter un avocat OFAC dans les 48 h, (4) si match confirmé, déclarer à l'OFAC via le mécanisme de "blocking report" sous 10 jours, (5) geler les avoirs si applicable.
À quelle fréquence mettre à jour mes vérifications ?
Standard du marché : re-scan complet au minimum mensuel, idéalement à chaque mise à jour OFAC publiée (3-6 fois par mois). Pour les contreparties à risque élevé (pays sensible, secteur sensible, profil PEP), passer en monitoring continu avec alerte automatique. La plupart des outils modernes de DD intègrent un cron daily qui rescan automatiquement.
Comment gérer les faux positifs ?
Algorithme de scoring de match (fuzzy matching avec score de confiance 0-100). Match > 95 % : action immédiate. 70-95 % : revue manuelle (croiser DOB, nationalité, adresse). < 70 % : faux positif probable, conserver dans le log mais pas d'action. La clé est de NE JAMAIS ignorer un match haut sans investigation, même s'il "ressemble" à un faux positif.
RiskSonnar croise chaque scan avec OpenSanctions (qui inclut SDN, SSI, NS-MBS et 200+ listes mondiales) avec fuzzy matching natif et alerte par webhook signé HMAC dès qu'une contrepartie monitorée bascule sur la liste. Mise à jour quotidienne automatique. Voir les plans →