En bref
|
La BRED, société anonyme coopérative de banque populaire (une des principales sociétés du groupe Banques Populaires – Caisses d’Épargne (BPCE)) vient d’être sanctionnée d’un blâme et d’une amende de 2,5 millions d’euros par l’Autorité de supervision française au titre des différents manquement constatés sur son dispositif LCB-FT. Elle avait, au moment du contrôle sur place à la suite duquel la présente procédure a été ouverte, 1,3 million de clients et un réseau de 475 implantations.
Plusieurs manquements ont motivé la décision de l’Autorité de supervision française. On constate notamment des défaillances majeures en matière de surveillance des opérations atypiques, de connaissance client, ou encore, sur la réalisation des examens renforcés et les déclarations de soupçon.
I) Le défaut de paramétrage de l’outil de monitoring des transactions et de surveillance des activités atypiques
La sanction met en lumière plusieurs insuffisances dans le système de surveillance des opérations de la BRED, incluant notamment l’incomplétude de la base clients et le traitement des alertes.
a) Le paramétrage inadéquat de l’outil de monitoring des transactions
L’Autorité de supervision française relève que le mauvais paramétrage de l’outil de surveillance des transactions constitue à lui seul une défaillance du système de détection des opérations atypiques.
En effet, le contrôle de l’autorité a mis en exergue l’application, voire parfois l’inapplication, de seuils de significativité qui n’étaient pas adaptés à la connaissance client et aux niveaux de risque attribués. Il a été constaté que certains clients ayant déjà fait l’objet de déclaration de soupçon avaient par la suite été exemptés (partiellement ou totalement) d’un contrôle continu sur leurs activités, alors même que ces clients étaient classés en risque « maximal ». Ces clients représentaient pourtant un risque de BC-FT très élevé. L’arrêt partiel ou total de surveillance était décidé par les responsables conformité de l’établissement et du service de lutte anti-blanchiment.
Ainsi, il convient de rappeler que la réalisation d’une déclaration de soupçon auprès de TRACFIN doit être un élément déterminant sur le niveau de risque attribué au client et à la réévaluation de ce dernier. Il s’agit d’un critère de risque qui doit être pris en compte dès l’entrée en relation d’affaires, et qui doit jouer un rôle dans la détermination du niveau de risque via la classification des risques.
En outre, certains comptes clients étaient également exemptés d’une vigilance continue car il s’agissait de filiales de l’établissement pour lesquelles la BRED veillait à ce que ces dernières justifient d’un dispositif LCB-FT équivalent au sien. Toutefois, l’Autorité de supervision française précise que ce point n’équivaut pas à un dispositif de surveillance des opérations adéquat. Les filiales de l’établissement doivent donc faire l’objet d’une surveillance adaptée et continue au-delà de leur dispositif interne en matière de LCB-FT.
Il a également été constaté que plusieurs seuils de significativité, au-delà même du fait qu’ils ne soient pas nécessairement adaptés à la clientèle rencontrée par la BRED, avaient été désactivés et empêchaient donc l’établissement d’opérer une surveillance correcte des activités de ses clients.
Concernant les seuils de significativité actifs considérés comme inadaptés par l’Autorité de supervision française, on retrouve notamment des seuils mal définis suite à la collecte d’éléments imprécis en matière de revenus annuels ou chiffre d’affaires déclarés par les clients au moment de l’entrée en relation d’affaires (ou lors de la réalisation des revues périodiques).
En effet, l’établissement avait défini des tranches de revenus « trop larges » vis-à -vis de la clientèle rencontrée, ce qui ne permettait pas de définir des seuils pertinents.
À celà s’ajoute le fait que l’établissement ne recueillait pas systématiquement le secteur d’activité ou l’activité professionnelle exercée par le client, ni les revenus ou chiffres d’affaires estimés sur une année. À titre d’illustration, le versement en deux ans par un client sans emploi et sans revenus, de plusieurs chèques, pour un montant cumulé supérieur à 200 000 euros, n’a entraîné le déclenchement d’aucune alerte au sein de l’établissement.
Il apparaît ainsi que le secteur d’activité n’était pas un critère utilisé pour définir des scénarios d’opérations atypiques. Ce critère était utilisé uniquement pour les mouvements d’espèces effectués par des clients exerçant leur activité dans un des deux secteurs faisant l’objet d’un traitement spécifique par la BRED (codes APE 40 et 80).
Cette décision démontre l’attente de l’Autorité de supervision française quant à la réalisation d’une analyse concrète des risques par secteur et des comportements pouvant être considérés comme légitimes notamment en recoupant avec les tranches de revenus annuels ou chiffres d’affaires pour les entreprises.
De ce fait,(le mauvais paramétrage d’un scénario constitue, en tant que tel, une défaillance du système de détection des opérations atypiques
Il est donc crucial que les institutions financières maintiennent des bases de données clients complètes et à jour, notamment en ce qui concerne les revenus et les activités professionnelles. Les lacunes importantes dans ces domaines peuvent entraîner une inefficacité du dispositif de surveillance et déclencher des alertes non pertinentes.
b) La justification insuffisante des classements sans suite des examens renforcés
L’Autorité de supervision française appuie sur l’importance de justifier la conclusion et le classement des alertes ayant fait l’objet d’un examen renforcé même lorsqu’il s’avère que la transaction n’est pas atypique. Les commentaires “OK”, “RAS”, “VIRT” sont jugés insuffisants.
À ce titre, est rappelé l’article 4 de l’arrêté du 6 janvier 2021 imposant que les décisions de classement sans suite des alertes soient « dûment motivées ». Sur ce point, un rapport de l’inspection générale IG BRED avait déjà souligné cette carence et indiquait que cela « faisait porter un risque réglementaire à la BRED ». Un virement international de plus de 500 000 euros réceptionné par un des clients de l’établissement était d’ailleurs passé totalement inaperçu.
La justification du classement d’une alerte est primordiale afin d’assurer un suivi adéquat des comportements d’un client. Cette justification doit pouvoir démontrer la profondeur de l’analyse réalisée sur chaque examen renforcé.
II) Les obligations relatives à la connaissance client
Le grief relatif à l’usage de watchlists (negative news) pour la connaissance des relations d’affaires a été écarté, mais la Commission a souligné que la BRED devait accomplir des diligences suffisantes pour recueillir les informations dites négatives sur la clientèle. Elle a notamment relevé que deux clients de l’établissement avaient été classés en risque faible alors même que ces derniers avaient fait l’objet de condamnations pénales en lien avec le terrorisme.
L’usage de watchlists ou d’outils de filtrage automatisé est fortement recommandé, surtout pour les grandes institutions. Cela permet de garantir une connaissance adéquate des relations d’affaires et de déterminer un profil de risque adapté pour chaque client.
III) Les obligations d’information et de déclaration à Tracfin
À travers ses constats, l’Autorité de supervision française souligne l’importance de revoir l’entièreté d’un dossier client (voire réévaluer le risque client) lorsqu’un client fait l’objet d’un droit de communication ou réquisition judiciaire. Parmi les exemples cités dans la décision, était notamment en cause une société ayant une activité de BTP.
Il convient alors de souligner que ce type d’activité est considéré par les autorités comme risqué en matière de BC-FT et qu’il est pertinent de s’attarder sur les virements pouvant être réalisés à des tiers – personnes physiques, notamment quand ceux-ci peuvent s’apparenter à des salaires alors que la société a déclaré un nombre de salariés inférieur au nombre de virements mensuels effectués sur une période donnée. Le manque de virements à l’URSSAF constitue également un signe de blanchiment de capitaux.
L’Autorité de supervision française appuie donc sur l’importance de réaliser des déclarations de soupçon complémentaires lorsque des éléments atypiques supplémentaires se produisent. Cela va dans la continuité du devoir de vigilance et de déclaration des sommes atypiques. En résumé, une seule déclaration de soupçon sur des activités atypiques n’est pas un motif d’exonération pour arrêter la surveillance sur un client, ou pour s’abstenir de déclarer d’éventuels nouveaux comportements atypiques.
Conclusion
Cette sanction illustre l’importance pour les établissements financiers de disposer de dispositifs LCB-FT robustes et bien paramétrés, couvrant tous les aspects de la surveillance des opérations et de la connaissance des clients. Les institutions doivent s’assurer de l’exhaustivité et de la mise à jour régulière de leurs données clients, traiter les alertes de manière détaillée et justifiée, et utiliser des outils automatisés pour filtrer les informations négatives. Ces mesures sont essentielles pour répondre aux exigences réglementaires et éviter des sanctions similaires à celles infligées à la BRED.
Source : https://acpr.banque-france.fr/sites/default/files/media/2024/06/28/20240628_decision_bred.pdf