Fin février 2023, l’ACPR (Autorité de Contrôle Prudentiel et de Résolution a rendu un nouveau blâme et sanction pour des manquements aux obligations LCB-FT (Lutte Contre le Blanchiment et le Financement du Terrorisme), résultats : 1 million d’euros d’amende et la non-anonymisation du fautif dans la publication, soit un préjudice réputationnel non-estimable.
Comme d’habitude, l’analyse de ces sanctions permet de faire une piqûre de rappel sur les obligations règlementaires, voire préciser certains points afin d’éviter toute mauvaise interprétation. Voici un résumé des principaux griefs de cette sanction.
Quand interviennent ces obligations ?
La connaissance de la clientèle doit intervenir aussi bien avant l’entrée en relation, que pendant la relation d’affaires.
À tout moment, les professionnels assujettis doivent être en mesure :
- d’identifier leur client (y compris les Bénéficiaires Effectifs pour une personne morale),
- de recueillir les informations et pièces-justificatives relatives à l’objet et à la nature de la relation d’affaires, ou tout autres informations pertinentes notamment en raison du niveau de risque du client.
Exemples de justificatifs : pièces d’identité, Kbis, justification de revenus et/ou source des fonds, statuts…
Un point souvent oublié par les assujettis est que l’actualisation de la connaissance client doit s’effectuer même si client est « inactif » !
Avis APS :
Outre la mise à jour quotidienne des listes de personnes sensibles, la mise à jour régulière des fiches client permet une meilleure qualité de données et donc une meilleure détection des personnes sensibles.
Les outils de LCB-FT doivent filtrer et analyser quotidiennement l’ensemble de votre portefeuille clients. Ce screening automatisé ne doit alors faire ressortir que les nouvelles alertes ou alertes ayant subi un changement majeur. Dans un souci de productivité, les alertes précédemment décidées n’ayant pas subi de changement majeur ne doivent pas être resoumises à la décision d’un opérateur/analyste LCB-FT.
Afin également de fluidifier votre parcours client/entrée, les outils de détection doivent être capables de s’intégrer à vos parcours digitaux, CRM… et répondre instantanément pour vous signaler s’il y a la moindre suspicion vis-à-vis de votre prospect. Ainsi, vous pouvez adapter votre processus en lui demandant, sans attendre, des informations et justificatifs complémentaires.
L’outil de criblage doit, également, garantir une traçabilité de la totalité des actes de gestion et des pièces justificatives (éventuellement) déposées.
Concernant les informations à recueillir, l’ACPR dans une précédente sanction (voir notre article ici), avait « fortement conseillé » (pour ne pas dire « imposé ») en plus des noms/prénoms, de saisir :
- La date de naissance (ou a-minima l’année de naissance)
- Le Pays de naissance
Les entreprises assujetties peuvent aussi utiliser un outil de détection leur permettant d’enrichir les données clients en récupérant et vérifiant les Bénéficiaires Effectifs et/ou les Représentant des personnes morales. L’outil doit également permettre de définir quelles sont les propriétés obligatoires d’une fiche Client avant de la cribler.
Comment appréhender les risques Pays ?
L’ACPR évoque dans cette sanction des risques pays non-détectés vis-à-vis de nationalités ou pays de résidence des clients. Sur ces griefs, l’ACPR s’appuie sur les listes :
- Liste PTHR (Pays Tiers à Hauts Risques) de l’Union Européenne
- Liste grise du GAFI (Groupe d’Action Financière)
Avis APS :
L’outil LCB-FT de détection doit inclure la détection des Pays à risques avec une granularité fine de configuration. Tout d’abord, définir quelles propriétés de vos clients peuvent générer un risque (nationalité, pays de naissance, pays de résidence, pays fiscaux…). Ensuite, définir plusieurs niveaux de risques vis-à-vis de chaque pays à risque (vigilance modérée, vigilance renforcée, embargo).
Quelles listes PPE utiliser ?
Dans cette sanction, l’ACPR reproche au professionnel assujetti de ne pas avoir détecté certaines Personnes Politiquement Exposées et/ou leurs proches. Et donc, le professionnel n’a pas appliqué de mesures de vigilances complémentaires vis-à-vis de ces clients.
Le professionnel s’est dédouané en indiquant que les PPE incriminés n’apparaissaient pas sur les listes de fournisseurs privées et/ou que leur rôle n’était pas clairement défini comme celui d’un PPE.
L’ACPR rappelle que chaque organisme assujetti doit s’assurer de la pertinence et de la fiabilité des listes utilisées. L’ACPR sous-entend également qu’il est tout à fait possible d’utiliser des listes internes afin de compléter le dispositif.
Mais finalement, l’ACPR reconnait que ce genre de « raté » reste ponctuel avec des fournisseurs de listes externes et considère donc que ce reproche est minime et ne représente pas une carence du dispositif de détection des PPE.
Avis APS :
En ce qui concerne les rôles, la définition d’un PPE a été dernièrement affinée par le Ministères de l’Economie. Retrouver notre article : https://www.ap-solutions.io/definition-ppe-nationale/
Il est indispensable d’effectuer des recherches avec approximation orthographique. En général, le seuil de tolérance pour les Sanctions et Gel des Avoirs reste bas, ce qui a pour conséquence d’augmenter le nombre d’alertes. Concernant les Personnes Exposées Politiquement, leurs proches (RCA) et/ou les Personnes sous mauvaise réputation (Adverse Media), les seuils peuvent être augmentés (cependant sans arriver au « strict matching » ou simili) afin de limiter le nombre d’alertes.
Pour rappel, en matière de LCB-FT, les professions assujetties ont des obligations de résultats concernant la détection des personnes sous sanction et/ou gels des avoirs. Alors qu’elles ont des obligations de moyen concernant la détection des PEP, RCA, AME… L’outil de détection utilisé doit donc être capable d’utiliser des listes provenant de fournisseurs privés, mais également des listes internes.
Et les risques réputationnels / Adverse Media dans tout ça ?
C’est l’une des premières fois que l’ACPR reproche des problèmes de détection de personnes sous mauvaise réputation. L’ACPR indique plusieurs typologies de « mauvaise presse » comme :
- Le recel,
- La mise en examen (quid de la présomption d’innocence en France ?),
- Les condamnations,
- Les liens avec le financement du terrorisme (à la frontière avec l’obligation de résultat des sanctions et du Gel des Avoirs).
L’ACPR indique également, et là c’est inédit, qu’un client manipulant des crypto-actifs doit être détecté !
Là encore, le professionnel assujetti a indiqué que les informations n’étaient pas présentes dans les listes fournies par des prestataires externes. L’ACPR a juste indiqué que pour certains cas, la connaissance de ces méfaits était d’une grande notoriété publique et donc que l’organisme assujetti aurait dû appliquer un risque élevé sur ces clients même sans détection de leur outil.
Avis APS :
Si parfois l’outil utilisé peut ne pas détecter certaines personnes sensibles en raison des listes utilisées. L’outil doit proposer la possibilité de définir les décisions, niveau de risque, niveau de vigilance… concernant la fiche client, en toute indépendance avec le résultat de criblage.
Quelles procédures en fonction du niveau de vigilance ?
Dans cette sanction, l’ACPR reproche deux principales procédures omises pour des clients en vigilance complémentaire ou en vigilance renforcée :
- La fréquence de mise à jour des informations concernant ces clients
La validation par un membre de l’organe exécutif (ou membre habilité par l’organe exécutif)
Avis APS :
A propos de la fréquence de mise à jour des fiches clients, nous avons déjà abordé le sujet dans le chapitre ci-dessus « Quand interviennent ces obligations ? ».
Des procédures de suivi bien distinctes sont attendues entre les différents niveaux de risques. Une personne à risque élevé ne doit pas avoir les mêmes contraintes en termes « KYC » qu’une personne à risque faible. L’absence de distinction a déjà été reprochée par l’ACPR.
De plus, lors de risques élevés, l’acceptation d’un client doit suivre un processus de décision incluant des personnes décisionnaires. L’outil doit donc permettre de définir un workflow et un ensemble d’actions à effectuer en fonction des décisions et/ou niveau de vigilance d’une fiche Client.