BMW Finance sanctionné d’une amende de 500 000€ et d’un blâme par l’ACPR

Partager cette actualité

Le 26 mai 2023, l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) a rendu publique une décision de sanction à l’encontre de BMW Finance.

Agréé en tant qu’établissement de crédit spécialisé depuis 2013 (auparavant agréé en tant que société de financement), et membre du groupe allemand BMW, son activité consiste principalement en la fourniture de deux types de financement  :  

  • Un financement « retail » (3/4 de son activité) pour le financement longue durée ou avec option d’achat de véhicules haut de gamme à une clientèle de particuliers ou de professionnels (clients du réseau de concessionnaires du groupe) ; 
  • Un financement « wholesale » (1/4 de son activité) pour financer certains besoins d’exploitation et l’achat/rénovation de locaux immobiliers.

 

La mission de contrôle de l’ACPR s’est tenue du 4 février au 17 juin 2021 et a donné lieu à un rapport de contrôle en date du 22 décembre 2021. L’ACPR a ensuite ouvert une procédure disciplinaire à l’encontre de BMW Finance le 10 mai 2022, suivie d’une audience le 20 avril 2023, et l’a sanctionné d’une amende de 500 000 euros et d’un blâme. Au total, 10 griefs ont été soulevés par l’ACPR. 

 

Au coeur de cette sanction : une absence de moyens humains suffisants (manque de personnel dédié) qui constitue une non-conformité de laquelle découlent plusieurs autres griefs (notamment un défaut d’actualisation des dossiers KYC, une inadaptation du dispositif de suivi et d’analyse des opérations, ou encore l’absence de recueil de l’extrait du registre des bénéficiaires effectifs). Mais surtout, cette décision met l’accent sur l’importance, pour un assujetti, de choisir scrupuleusement son prestataire au titre de l’externalisation d’une fonction LCB-FT. Ainsi, il est relevé de nombreuses insuffisances du dispositif LCB-FT de BMW Finance portant sur la prestation externalisée, ce qui ne lui a pas permis de contrôler suffisamment son prestataire (dispositif de contrôle permanent de niveau 1 lacunaire, contrôle permanent de niveau 2 insuffisant) et a entraîné d’autres manquements à ses obligations LCB-FT (traitement tardif des alertes, défaillance du dispositif de surveillance des PPE).


Il est à relever que, conformément au principe de proportionnalité, le montant de l’amende s’explique par l’appartenance de l’assujetti à un grand groupe, ce qui aurait dû lui permettre de disposer de moyens suffisants pour se conformer à ses obligations LCB-FT. L’ACPR relève toutefois que la conséquence des lacunes relevées dans le dispositif LCB-FT de l’assujetti est limitée. L’activité de l’établissement (financement retail) ne l’expose pas à des risques de BC-FT élevés (la plupart des clients sont classés en risque faible). Enfin, l’ACPR prend acte des importantes actions de remédiation prises par l’assujetti  (budget supérieur à 3 000 000 euros consacrés, les salaires des collaborateurs de l’équipe Conformité représentant désormais 8% de la masse salariale) pour justifier le montant de l’amende.

 

1. Absence de moyens humains suffisants

Tandis que la dernière sanction prononcée par l’ACPR à l’encontre de Nickel relevait un manque d’expérience des analystes, il est reproché ici un manque de ressources en interne.

En effet, l’ACPR relève que l’assujetti ne disposait pas de moyens humains suffisants pour mettre en œuvre ses obligations LCB-FT (grief 1). Seuls 2 collaborateurs (!) étaient dédiés à une pluralité de tâches en lien avec la conformité (identification des facteurs de risques de BC-FT, lutte contre la fraude, analyse des alertes, réalisation des examens renforcés, validation de l’entrée en relation, etc.) ce qui était manifestement insuffisant pour faire face à son important volume d’activité : « [plus de 100 000] contrats actifs pour [plus de cent mille] clients personnes physiques et [quelques dizaines de milliers de] clients personnes morales ». 

L’argument soulevé par l’assujetti (difficultés de recrutement) est rejeté par l’ACPR car il ne justifie pas le retard mis à corriger les insuffisances.

Conséquences :

  • On ne soulignera jamais assez l’intérêt, pour les assujettis, de disposer d’effectifs proportionnés à la taille de la structure et au volume d’opérations traitées  ; 
  • Alors qu’il peut être justifié de faire peser plusieurs missions sur une seule et même personne (ou un nombre restreint d’analystes) au sein d’établissements assujettis de petite taille générant un faible volume d’activité associé à une clientèle restreinte, ce type d’organisation n’apparaît plus proportionné dans un établissement de plus grande taille générant un nombre important de dossiers clients ; 
  • Il est donc primordial de consacrer des ressources suffisantes à la compliance, de manière suffisamment proportionnée à la taille de l’établissement et à son volume d’activités. Le personnel dédié doit être en mesure d’avoir une disponibilité suffisante pour réaliser ses missions, ce qui ne semble pas être possible lorsque ce dernier exerce une pluralité de missions comme c’est le cas dans la présente affaire ; 
  • Hélas, il faut constater que de nombreux assujettis n’allouent pas suffisamment de moyens humains à la réalisation des missions relatives aux sujets relatifs à la compliance, priorisant très souvent les sujets commerciaux et IT au détriment des sujets réglementaires (souvent considérés comme un frein au business). Or, un manque de ressources dédiées à ces missions peut constituer une porte d’entrée vers d’autres zones de non-conformité (ce qui est le cas en l’espèce) de nature à alourdir le risque de non conformité pouvant entraîner une sanction par les autorités de supervision ; 
  • En résumé, il incombe à l’assujetti d’adapter son dispositif LCB-FT et les moyens humains mis en place de manière à ce qu’il soit suffisamment robuste au regard des exigences de la réglementation. Concrètement, l’assujetti devrait effectuer un suivi des backlog des alertes de manière à limiter le temps de gestion des déclarations de soupçon et le temps de traitement des alertes ou de l’examen renforcé, ce qui suppose une collaboration avec les différentes équipes de l’établissement.

 

2. Absence de recueil de l’extrait du registre des bénéficiaires effectifs (RBE)

L’ACPR reproche ensuite à l’assujetti de n’avoir pas recueilli l’extrait du RBE (grief 2) pour réaliser la procédure KYC (Know-Your-Customer) auprès de sa clientèle de personnes morales, obligation pourtant prévue à l’article R.561-7 du Code Monétaire et Financier (CMF), disposition entrée en vigueur durant la période de contrôle par l’ACPR. A ce titre, plusieurs « milliers » de clients personnes morales sont entrés en relation d’affaires avec l’assujetti entre février 2020 et le 31 décembre de la même année. 

De plus, il est reproché à l’assujetti un retard tant au titre de la demande d’accès au RBE (novembre 2020) que dans la formalisation d’un mode opératoire pour la consultation du RBE (mars 2022). 

Enfin, l’argumentaire soulevé par l’assujetti (« difficultés d’accès au RBE ») semble fragile puisque les dispositions en cause étaient entrées en vigueur au moment du contrôle. L’assujetti ne saurait donc se prévaloir d’un quelconque retard à cet égard. L’argument est, sans grande surprise, rejeté par l’ACPR.

Conséquences : 

  • L’ACPR rappelle que l’obligation de recueillir un extrait du RBE pertinent doit permettre aux assujettis de vérifier les informations sur l’identité des bénéficiaires effectifs (BE) de leurs clients personnes morales qu’ils ont pu obtenir par d’autres moyens ;
  • La consultation du RBE est obligatoire et doit être systématique (dès l’entrée en relation d’affaires, lors de la revue du dossier ou lorsque l’établissement a de bonnes raisons de penser que les informations ont été mises à jour) ;
  • Dès lors qu’une disposition légale ou réglementaire entre en vigueur, les assujettis ont l’obligation de s’y conformer immédiatement. Ce qui suppose d’anticiper au plus tôt les effets opérationnels d’une nouvelle disposition légale sur leur activité, et non de s’y conformer a posteriori.

En outre, bien que la collecte de l’extrait du RBE soit obligatoire, elle est parfois insuffisante pour s’assurer de l’identité des BE. Les lignes directrices de l’ACPR indiquent à ce titre que les assujettis doivent réaliser la vérification d’identité des BE d’une personne morale selon une approche par les risques. En effet, dans le cas où le RBE serait incomplet voire indisponible ou si le client représente un risque élevé de BC-FT, il appartient à l’assujetti de vérifier l’identité des BE selon tout autre moyen adapté à l’aide de document probants (exemple : pièce d’identité ; statuts…).

 

3. Défaut d’actualisation du KYC

Par ailleurs, l’ACPR relève que la procédure afférente au KYC de l’assujetti a été mise en place tardivement (novembre 2019) mais surtout qu’elle prévoyait une actualisation dans deux cas simplement (nouveau contrat, et tous les 2 ans pour les clients classés en risque « élevé »). L’ACPR constate  un défaut d’actualisation du KYC des clients (grief 3) : 

  • S’agissant de ses clients classés en risque « standard » ou « faible » : l’ACPR relève qu’aucune actualisation n’était prévue pour cette typologie de clients qui constituent pourtant 99,5% (!) de sa clientèle. L’argument de l’assujetti, supposé lui permettre de démontrer sa conformité, a eu un effet contre-productif. En effet, celui-ci soutient qu’un courrier était automatiquement envoyé depuis 2016 aux clients dont les dossiers n’étaient plus à jour. Or, les réponses clients n’ont donné lieu à aucun suivi depuis 2016… ; 
  • S’agissant des clients classés en risque « élevé » : 26 clients (sur 607) ont été contactés par l’assujetti au titre de l’actualisation de leur KYC (plus précisément pour « mise à jour des coordonnées personnelles »), mais seuls 6 d’entre eux ont répondu. Aucune action n’était prise par l’assujetti pour les autres clients ; 
  • Enfin, l’assujetti n’avait pas réévalué le niveau de risque des clients ayant fait l’objet d’une déclaration de soupçon à TRACFIN ou d’une réquisition judiciaire pour escroquerie.

Conséquences : 

  • Les assujettis doivent mettre en oeuvre le KYC aussi bien à l’entrée en relation (onboarding) que pendant la relation d’affaires, ce qui suppose une actualisation du KYC à une fréquence définie (1 an, 2 ans, 3 ans d’après les usages) selon le niveau de risque du client (respectivement elevé, standard, faible) ; 
  • De plus, les assujettis doivent penser à effectuer un suivi des demandes d’actualisation du KYC faites à leurs relations d’affaires. En effet, dans le cas où le client ne répondrait plus aux exigences réglementaires, l’assujetti est en droit de mettre fin à la relation d’affaires dans un délai raisonnable après avoir relancé le client ; 
  • Enfin, lorsqu’un client fait l’objet d’une déclaration de soupçon ou d’une réquisition judiciaire, l’assujetti doit impérativement réhausser le scoring de risque associé à ce client. En pratique, le niveau de risque de celui-ci sera classé en risque « élevé » et son dossier devra être actualisé sur une base annuelle.

 

4. Défaillance du dispositif de détection des PPE

En outre, l’ACPR constate un défaut de détection des PPE par l’assujetti dans 11 dossiers (grief 4). La particularité en l’espèce, était que le traitement des alertes issues d’un outil édité par un prestataire externe incombait d’abord au prestataire puis à l’assujetti (en cas de concordance).

Or, les fichiers de reporting ne permettaient pas de détecter les erreurs d’analyse du prestataire (simples mentions « match » ou « no match »). L’ACPR relève ainsi un dossier dans lequel une alerte était classée en « no match » par l’analyste à la suite d’une erreur d’analyse du prestataire (et non détectée par l’assujetti). L’assujetti admet que le paramétrage dudit outil était défaillant.

Conséquences : 

  • La réglementation LCB-FT est prescriptive quant à l’identification de toutes les PPE ;
  • Si l’assujetti recourt à un outil édité par un prestataire externe pour effectuer le screening des PPE, il lui incombe de sélectionner soigneusement son prestataire (cf. infra, VII) et de paramétrer correctement l’outil utilisé.

 

5. Absence de recueil de l’extrait du registre des bénéficiaires effectifs (RBE)

Alors même que la base clients de l’assujetti faisait l’objet d’un filtrage quotidien, il n’en demeure pas moins que l’analyse des alertes de premier niveau par le prestataire externe (cf. supra, IV) pouvait être différée de plusieurs jours (voire plusieurs semaines). 

Le dispositif de gel des avoirs de l’assujetti était donc défaillant (grief 5).  A titre d’exemple, aucune alerte n’a été traitée durant les périodes suivantes :  

  • Entre le 1er juin 2020 et le 24 juin 2020 ;
  • Entre le 1er juillet 2020 et le 24 juillet 2020 ;
  • Entre le 7 décembre 2020 et le 22 décembre 2020.

Les actions de remédiation mises en oeuvre par l’assujetti (avenant au contrat signé avec le prestataire prévoyant une temporalité de traitement des alertes, contrôle quotidien effectué sur ces alertes, formation du personnel) sont sans incidence sur la caractérisation du grief puisque l’assujetti n’était pas en mesure de mettre en oeuvre immédiatement son obligation qui est une obligation de résultat selon la jurisprudence constante de l’ACPR.

Conséquences : 

  • Les assujettis doivent immédiatement mettre en œuvre une mesure de gel des avoirs dès qu’ils détectent une alerte. Aucun retard n’est toléré par l’ACPR ;
  • L’outil de filtrage en matière de gel des avoirs doit être correctement paramétré ;
  • Il est donc nécessaire de sélectionner minutieusement son prestataire de filtrage de gel des avoirs et de l’auditer régulièrement (cf. infra, VII).

 

6. Dispositif de suivi et d’analyse des opérations inadapté

Le grief 6 concerne l’inadaptation du dispositif de suivi et d’analyse des opérations et des  relations d’affaires de l’assujetti. Ce dispositif reposait sur des scenarii et l’application manuelle de filtres pour sélectionner certaines opérations détectées par les scenarii. A ce titre l’ACPR note : 

  • Une prise en compte insuffisante du risque client: celui-ci n’était pas renseigné (98% des contrats) dans l’outil ;
  • Que les filtres manuels n’étaient pas systématiquement appliqués ou l’étaient seulement en cas d’abondance de résultats ; 
  • Une prise en compte insuffisante des caractéristiques des relations d’affaires dans le dispositif de surveillance. A ce titre, l’assujetti ne prenait en compte ni les revenus de la clientèle ni les risques liés au financement de véhicules haut de gamme/luxe en tant que critères d’alertes, ce type de financement étant pourtant identifié comme présentant un risque de BC-FT plus élevé dans l’analyse sectorielle des risques de BC-FT de l’ACPR (2019).

De plus, certaines alertes déclenchées par les scenarii automatiques n’étaient pas traitées, tandis que d’autres l’étaient tardivement : 

  • Alertes non traitées : moins de 10% des alertes ont été traitées. S’agissant des opérations les plus à risque de BC-FT (remboursement anticipé), près de la moitié des alertes les concernant n’a pas été traitée. L’assujetti avait également fait le choix de limiter son analyse aux alertes relatives aux 10 remboursements les plus élevés, le conduisant à supprimer le filtre relatif aux clients présentant un score de risque supérieur à 7. Pourtant, l’assujetti n’a traité que 50 des 249 alertes entre août 2020 et décembre 2020.
  • Alertes traitées tardivement : les scenarii étaient joués en début de mois pour les opérations du mois précédent, ce qui conduisait à un traitement tardif des alertes. 

En outre, le traitement des alertes au titre du dispositif de transaction monitoring n’avait pas été effectué entre février 2020 et octobre 2020. Ce point avait d’ailleurs été remonté indiqué via le rapport d’audit interne. 

Enfin, le dispositif de l’assujetti ne lui permettait pas non plus de détecter : 

  • Les opérations devant faire l’objet d’un examen renforcé (grief 7) : plusieurs opérations ne semblaient pas avoir de justification économique, ou leur licéité pouvait être contestée ;
  • Les opérations devant faire l’objet d’une déclaration de soupçon (DS) à TRACFIN (grief 8) : il est reproché à l’assujetti de n’avoir pas effectué de DS à TRACFIN dans 6 dossiers.

On notera qu’il s’agit de griefs souvent relevés par la Commission des Sanctions de l’ACPR.

Conséquences : 

  • Les assujettis doivent adapter et personnaliser leur dispositif LCB-FT selon leur activité, conformément à l’approche par les risques. Pour cela, les assujettis doivent recourir à différentes sources et peuvent se baser sur l’analyse sectorielle des risques de BC-FT de l’ACPR ;
  • Les assujettis ont également l’obligation de prendre en compte les revenus du client en tant que critère d’alerte ; 
  • En cas d’alertes portant sur des opérations à risque de BC-FT élevé, l’assujetti doit systématiquement les traiter sans appliquer de filtre consistant à traiter uniquement les opérations ayant les montants les plus élevés ;
  • Lorsque l’audit interne (contrôle périodique) détecte une non-conformité (en l’espèce l’absence de traitement des alertes dans le cadre du dispositif de transaction monitoring), l’assujetti a l’obligation de mettre en œuvre les mesures correctrices le plus rapidement possible. Une mise en œuvre trop tardive de ces mesures ne saurait être accueillie favorablement par l’ACPR en tant que mesure de remédiation de nature à écarter le grief.

 

7. L’externalisation et le contrôle interne

Les deux derniers griefs retenus par l’ACPR (grief 9 et grief 10) sont très intéressants en ce qu’ils mettent en exergue la nécessité pour un assujetti de sélectionner soigneusement son prestataire externalisé au titre de l’externalisation d’une fonction de LCB-FT.

En l’espèce, l’assujetti avait recours à un prestataire externe chargé de la détection des clients frappés d’une mesure de gel des avoirs et des clients PPE.

 

L’ACPR constate l’absence de contrat formalisé entre l’assujetti et le prestataire externalisé. Or, l’assujetti soutient qu’un contrat a bel et bien été conclu en 2018 (soit avant la mission d’audit interne) et qu’un avenant a été signé en 2021 prévoyant un contrôle renforcé des délais de traitement des alertes. Toutefois, l’ACPR relève que le contrat de 2018 ne mentionnait pas que le prestataire était chargé de la détection des clients soumis au gel des avoirs. L’outil en question n’était utilisé par l’assujetti qu’au titre de la détection des PPE, alors même qu’il comportait des fonctionnalités relatives à la détection de personnes faisant l’objet d’une mesure restrictive. Selon l’ACPR, la signature de l’avenant devait donc s’analyser comme une simple mesure de remédiation, sans nature sur la caractérisation de l’absence de formalisation de la prestation fournie par le prestataire en matière de gel des avoirs (grief 9).

 

Par ailleurs, l’ACPR relève des insuffisances du dispositif de contrôle interne de l’assujetti (grief 10). Celui-ci ne permettait pas à l’assujetti de s’assurer : 

  • Que le prestataire se conformait aux obligations de détection des PPE et des clients frappés d’une mesure de gel des avoirs ;
  • Que le prestataire traitait l’ensemble des alertes puisque ledit prestataire n’avait pas renseigné la qualification de « match » ou « no match » dans les fichiers de reporting. Le prestataire n’avait pas renseigné cette qualification pour 5% des alertes entre janvier et juin 2020 et 8% des alertes entre juillet et décembre 2020 ;
  • Que le traitement des alertes était réalisé avec célérité : l’analyse des alertes pouvait être différée de plusieurs jours.

 

Enfin : 

  • Le dispositif de contrôle permanent de 1er niveau était lacunaire : le prestataire pouvait classer une alerte sans suite sans que l’assujetti n’exerce un contrôle de 1er niveau grâce à l’outil ou aux fichiers de reporting  ;
  • Des insuffisances en matière de contrôles de 2ème niveau sur le traitement des alertes ont été relevées : le plan de contrôle prévoyait seulement le contrôle d’un échantillon de 32 alertes par an (8 par trimestre) ce qui était insuffisant compte tenu du nombre d’alertes traitées par le prestataire (plus de 70 000).

Conséquences : 

  • Il est primordial de matérialiser la relation entre l’assujetti et le prestataire externalisé par un contrat écrit d’externalisation devant nécessairement comporter les clauses obligatoires prévues à l’article 10 de l’arrêté du 6 janvier 2021 (anciennement l’article 238 de l’arrêté du 3 novembre 2014) ; 
  • Selon le type de prestation externalisée, des précisions doivent être apportées dans ledit contrat : ainsi, s’agissant d’une relation avec un prestataire chargé de la détection des personnes frappées d’une mesure de gel des avoirs, il convient de préciser les délais de traitement des alertes, les modalités de gestion des listes de « faux positifs » ou encore  les détails de l’algorithme utilisé ; 
  • La matérialisation de ces éléments dans un contrat d’externalisation permettra à l’assujetti de démontrer, en cas de contrôle de l’ACPR, que les caractéristiques de la prestation externalisée ont été convenues entre les parties (à titre de preuve) ; 
  • Celui-ci requiert, pour l’assujetti, d’auditer régulièrement son prestataire (a minima sur une base annuelle, mais à une fréquence raccourcie selon tout événement susceptible de nuire à sa capacité à assurer la prestation externalisée) ; 
  • En effet, l’externalisation n’entraîne aucune délégation de responsabilité. En d’autres termes, l’assujetti demeure responsable en cas de défaillance de son prestataire ; 
  • Si l’assujetti externalise une prestation relative à la détection de gel des avoirs, alors son dispositif de contrôle interne doit permettre  de s’assurer que (i) le prestataire traite toutes les alertes, (ii) avec célérité (mise en oeuvre immédiate des mesures restrictives) puisqu’il s’agit d’une obligation de résultat pour l’assujetti, (iii) et de s’assurer que le classement sans suite d’une alerte soit documenté et justifié (motivé au moyen de commentaires par exemple dans les fichiers de reporting) ; 
  • Le contrôle permanent de 2ème niveau portant sur les alertes doit être suffisamment proportionné. Un nombre important d’alertes généré sur une année suppose de contrôler (mensuellement ou trimestriellement) un échantillon comportant un nombre important d’alertes.

 

Source :

https://acpr.banque-france.fr/communique-de-presse/la-commission-des-sanctions-de-lacpr-sanctionne-bmw-finance

Plus d'articles

Les OAT blockchain :
alliés conformité des PSAN