Complexité de la conformité
réglementaire

Avec la  loi Sapin 2, La France se dote d’outils innovants permettant de détecter, de prévenir et de sanctionner efficacement la corruption et les atteintes à la probité. La loi a pour ambition de répondre aux aspirations des Français quant à la transparence, à l’éthique et à la justice en matière économique. « L’éthique doit être la boussole de la publique et économique », a déclaré Michel Sapin pour qui « ce texte contribuera à faire de notre pays une démocratie moderne, assise sur des valeurs solides, et non une démocratie du soupçon. Il contribuera à construire pour notre pays une économie au service de tous » et à éliminer « une finance débridée au service de la corruption et de la spéculation. »

Qualité des Listes : Les bases de données permettant le filtrage des personnes sensibles (physiques ou morales) sont de nature et de qualité différentes. Il est nécessaire de considérer les sources à l’origine de l’information et de s’interroger sur la valeur intrinsèque attachée à chaque information collectée. AP solutions IO utilise des listes de surveillance et de sanctions, nationales et mondiales, provenant d’organisations nationales, internationales ou intergouvernementales et des sociétés privées les plus reconnues. Ces listes sont mises à jour en permanence par des milliers d’analystes dans le monde. GDA, Gel Des Avoirs Le gel des avoirs est une sanction économique et financière s’inscrivant dans la lutte contre le terrorisme et le blanchiment de capitaux. Le gel des avoirs est destiné à restreindre l’accès aux ressources financières de toute personne commettant une infraction à la législation LCB-FT. Concrètement, tout changement dans le volume, le montant, la localisation, la propriété, la possession, la nature et la destination ainsi que l’utilisation de fonds ou de ressources économiques sera bloqué par ces mesures. Les conséquences du gel des avoirs sont diverses :

• Des restrictions aux importations ou aux exportations, de façon générale ou ciblée ;
• Des restrictions d’accès aux marchés financiers, des interdictions d’octroyer des prêts ou crédits, d’effectuer des transferts de fonds ou de fournir des services d’assurance ou de réassurance.

Sanctions Internationales & Embargo Le filtrage des transactions est une obligation LCB-FT visant à vérifier que la transaction du client n’est pas soumise à sanction internationale (contrepartie sous sanction) ou à embargo commercial (restriction d’activité pour certains pays). Naviguer au milieu des règlements, listes, annexes relevant des sanctions et embargos et des juridictions compétentes peut relever d’un vrai parcours du combattant ! L’ensemble des acteurs économiques a vite mesuré l’importance des enjeux associés au non-respect de ces principes. Les amendes, prononcées par les autorités de réglementation se sont en effet multipliées, jusqu’au triste record établi pour un établissement français de 8,9 milliards de dollars à verser au trésor américain pour contournement d’embargo ! L’analyse doit permettre en premier lieu de déterminer si l’opération ou la transaction est susceptible de tomber sous un ou plusieurs régimes de sanctions économiques (sanctions nationales, EU, US et internationales). Elle doit également présenter et évaluer les autres risques associés à la transaction, par exemple le risque réputationnel ou les risques opérationnels directement liés aux flux financiers ou le risque de LCB/FT lié au financement du commerce international. La documentation précise de l’ensemble de l’analyse, des éléments de contexte, et du cadre règlementaire doit absolument être tracée, datée et archivée. Nos solutions vous accompagnent méthodiquement pour gérer, analyser et tracer ces risques. PPE Les Personnes Politiquement Exposées (PPE) sont des personnes qui sont considérées, au niveau international, comme exposées à des « risques plus élevés » de blanchiment de capitaux ou de corruption. Les personnes concernées qui exercent, ou ont cessé d’exercer depuis moins d’un an (nos critères de détection permettent de modifier ce délai), des fonctions politiques, juridictionnelles ou administratives pour le compte de la France, d’un État étranger ou d’une organisation internationale. RCA Relatives and Close Associates. Il s’agit des proches des PPE comme les conjoints, enfants, parents. Les personnes étroitement associées aux PPE, notamment dans le cadre d’une société ou structure juridique (fiducie ou trust) ou entretenant un lien d’affaires (commercial ou économique) étroit. Au-delà de cette définition des régulateurs, et suivant votre appétence au risque, nous pouvons aller plus loin dans la granularité et la complétude de l’information à traiter grâce à la puissance de nos filtres portant sur les relations entre tiers. Adverse MEdia (AME) ou Media Défavorables ou Négative News Le large spectre des infractions liées au blanchiment d’argent oblige, depuis la 6^ème directive anti-blanchiment de l’Union Européenne (6AMDL entrée en vigueur fin 2020), d’ajuster le processus de filtrage sur la presse négative pour s’assurer d’une identification correcte des informations de dernière minute sur ses clients ou tiers. Compte tenu du travail important qu’impliquerait ce processus, l’automatisation de la filtration des médias défavorables est un outil indispensable qui permet de trier et hiérarchiser les nouvelles informations médiatiques et d’évaluer dans quelle mesure elles pourraient modifier le profil de risque d’un client ou porter atteinte à la réputation de votre établissement. Bénéficiaire Effectif Le tiers évalué ne se limite pas au tiers « apparent » ou tiers « facial ». La notion de bénéficiaire effectif résulte de la transposition de la 3ème directive LCB-FT et pose les critères de détention de plus de 25 % du capital ou des droits de vote d’une société cliente, et de l’exercice, par tout autre moyen, d’un pouvoir de contrôle sur la société au sens du code de commerce. Ainsi, les organismes assujettis sont tenus d’identifier et de vérifier l’identité du bénéficiaire effectif de leurs clients en relation d’affaires. Les documents recueillis à ce titre doivent être régulièrement actualisés, tout comme pour le client en relation d’affaires. La 4ème directive LCB-FT a permis de préciser la notion de bénéficiaire effectif. A cet égard, la mise en place du registre des bénéficiaires effectifs des sociétés – tenus par les tribunaux de commerce – constitue une aide pour les organismes assujettis sans pour autant exempter ces derniers de leurs obligations d’identification et de vérification de l’identité des bénéficiaires effectifs. Depuis la 5ème Directive il est indiqué qu’une preuve d’enregistrement ou un extrait du registre contenant les informations relatives aux bénéficiaires effectifs devra être recueilli par les organismes assujettis lors de l’entrée en relation avec une personne morale ou une entité concernée par l’obligation d’enregistrement. ORIAS : L’ORIAS immatricule les intermédiaires (personnes morales ou physiques en France) en assurance, opérations de banque et de services de paiement (IOBSP), conseillers en investissements financiers (CIF), agents liés de prestations de services d’investissement (ALPSI), conseillers en financements participatifs (CIP), des intermédiaires en financement participatif (IFP). Nos outils permettent en filtrant ces listes la vérification de la validité du numéro d’Orias, des accréditations obtenues et le contrôle des dates d’expiration de ces mêmes accréditations. INPI : Analyse financière, aide à la décision, statistiques… L’Institut national de la propriété industrielle (INPI) permet de consulter – sous forme de téléchargement – les informations non confidentielles issues des comptes annuels des entreprises commerciales françaises, compilées dans le registre national du commerce et des sociétés (RNCS).

Data INPI : quelles sont les données disponibles ?

les données d’identité légale des sociétés en provenance de tous les greffes des tribunaux à compétence commerciale et centralisées par l’INPI dans le registre national du commerce et des sociétés (RNCS) : par exemple la date de création, d’immatriculation, la forme juridique, le capital social, la dénomination sociale, le nom commercial, le sigle, l’activité principale, les représentants, les bénéficiaires effectifs, et l’adresse des établissements. Ces données permettent également de suivre la vie des entreprises : modifications et radiations, les données relatives aux statuts et aux actes des entreprises, ainsi qu’aux comptes annuels non confidentiels (données des bilans, des comptes de résultats, des immobilisations, des amortissements et des provisions). OPEN DATA : Par Open Data ou « sources ouvertes », on entend toutes les activités et méthodes de diffusion, de collecte et d’analyse de l’information obtenues à partir d’une source publique, c’est-à-dire des informations disponibles pour tout un chacun. Ces sources incluent les journaux, les sites internet, les livres, les magazines scientifiques, les diffusions radiophoniques, les émissions de télévision, etc. Il existe par ailleurs de nombreuses autres bases de données publiques issues du mouvement général d’ouverture des données publiques. Les sources ouvertes peuvent contenir des informations fiables mais aussi des informations à considérer avec prudence : fausses informations, informations dont la validité n’est plus d’actualité, dont le fondement est subjectif, ou biaisé. C’est pourquoi AP Solutions IO n’intègre pas en standard le criblage de sources non vérifiées mais peut suivant votre appétence au risque intégrer tous types de listes que vous souhaiteriez en OPEN DATA.

La déclaration de soupçon ou de suspicion, doit obligatoirement être effectuée a priori, préalablement à l’exécution d’une transaction, afin, le cas échéant, de permettre à Tracfin* d’exercer son droit d’opposition. Cette déclaration doit également être faite sans délai en cas de soupçon apparu postérieurement à la réalisation de l’opération en cours. *TRACFIN est un service de renseignement placé sous l’autorité du Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Il concourt au développement d’une économie saine en luttant contre les circuits financiers clandestins, le blanchiment d’argent et le financement du terrorisme. Le professionnel doit, en conséquence, s’abstenir d’effectuer toute opération dont il soupçonne qu’elle est liée au blanchiment de capitaux ou au financement du terrorisme. La loi ne prévoit pas de seuil déclaratif pour effectuer une déclaration de soupçon. Tout élément nouveau de nature à infirmer, conforter ou modifier le contenu de la déclaration émise doit être, sans délai, porté à la connaissance de Tracfin. Les professionnels sont tenus de conserver pendant 5 ans les pièces et documents réunis au titre de la vigilance. Sans un puissant outil de détection et de filtrage LCB-FT il est quasi impossible de respecter ses obligations déclaratives, qui peuvent pourtant en cas de non diligence entrainer de fortes amendes et la responsabilité pénale du dirigeant ! La mise en place et le suivi des mesures peut se faire grâce à notre système de « follow-up ». En fonction de la due diligence effectuée, APScan affiche une liste d’actions à réaliser. Vous pouvez cocher l’action lorsqu’elle est faite. Vous disposez de tous les éléments pour analyser puis effectuer vos déclarations obligatoires auprès de TRACFIN.

Est appelé Black Box, tout système, dispositif ou objet capable d’être observé sur le plan de ses caractéristiques de transfert (entrées et sorties), sans une connaissance claire de son organisation et de son fonctionnement intrinsèque. En opposition le terme Glass Box (transparence) permet une explicabilité totale et nécessaire règlementairement, c’est le choix d’AP Solutions IO, 100 % conformité, tout est explicable et traçable !

Dans le système de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) les entreprises doivent surveiller les activités de leurs clients à l’aide de systèmes de filtrage automatique des personnes et des transactions, qui génère des alertes sur les personnes ou mouvements financiers suspects. Ces alertes sont ensuite validées ou écartées par le responsable de la conformité dans l’entreprise. Les cas suspects confirmés sont consolidés sous forme de « déclaration de soupçon », et doivent obligatoirement être transmises à la direction générale du trésor ou à la cellule de renseignement financier Tracfin. La règlementation impose la détection par logique floue, c’est-à-dire une détection avec des approximations orthographiques, graphiques, phonétiques… Cette typologie de détection imposée entraine la génération de nombreuses suspicions appelées des « faux positifs« . Plus il y a de suspicions, plus le business est freiné, et plus les opérateurs de l’entreprise ont à revoir manuellement des fiches clients. Notre outil de détection des transactions ou personnes sensibles propose de puissants moteurs de réduction. Cette étape consiste à éliminer les « faux positifs » de manière automatique avec de puissants algorithmes qui ne sont ni le fait du hasard, ni sans compréhension de ce qu’il se passe…Résultat jusqu’à 98 % de réduction de faux positifs ! Il est primordial, notamment en cas de contrôle d’une autorité de tutelle, de pouvoir expliquer et démontrer les raisons d’une élimination automatique d’une suspicion. Enfin, toutes ces étapes seraient vaines si l’outil n’était pas connecté au système d’information, CRM, ERP… des sociétés, filiales ayant ce besoin de détection.

Une transaction peut générer après filtrage une alerte sur une personne ou une entité en faux positif. Pour éviter que cette même alerte soit générée lors du prochain filtrage sur une transaction similaire, on peut créer un mécanisme de « Good Guy ». S’il y a une alerte sans incidences, alors le joker Good Guy permet de fermer l’alerte. Les Good Guy sont maintenus sous forme de liste, avec des statistiques d’applicabilité, une date d’expiration et sous contrôle strict des Compliance Officers, c’est une sorte de passe-droit…Un régulateur qui auditerait, demanderait à la fois les listes des Good Guy mais surtout le processus organisationnel autour de la gestion des Good Guy. Le Bad Guy est par opposition l’entité listée qui a matché sur une partie de la transaction. Ce sont les individus ou entités présentes tout simplement dans les listes. Cette pratique ultra-simple vous est enseignée lors de la mise en service de vos outils.

APScan a préparé le terrain de la classification des risques en découpant plusieurs étapes clés dans le processus et traitement de détection des personnes sensibles :

1. Génération d’alertes
2. Qualification si l’alerte est une VRAIE ou une FAUSSE (appelée Faux-Positif)
3. Due diligence du Tiers (en général, résulte de la qualification des alertes) :
   1. Etablir un niveau de risques
   2. Définir la catégorie du Tiers (SCT, PEP, AME…)
   3. Décision sur le client : ACCEPTE (+ niveau de vigilance), REFUSE

Ces étapes permettent une granularité fine du traitement fait vis-à-vis d’un Tiers.  APScan va encore plus loin avec un système de profilage qui vous permet d’automatiser une partie de la classification des risques sur la base de règles de scoring totalement paramétrables.

APScan trace toutes les actions utilisateurs et système, permettant d’avoir une trace d’Audit complète. Les actions sont également expliquées. Là où beaucoup de prestataires restent en mode « Black box » impossible à expliquer, nous avons fait le choix d’être totalement transparent et explicable en mode « Glass Box » grâce à nos outils d’Intelligence Augmentée. Les utilisateurs peuvent exporter des rapports, ou des fiches individuelles permettant de justifier que les diligences obligatoires ont été effectuées.

APScan est un outil Tout-en-Un pouvant fonctionner en « stand-alone » (en complète autonomie), et être utilisé par des utilisateurs non experts. La solution peut être totalement connectée à votre Système d’information (SI) au travers de nos APIs, ou encore fonctionner en mode hybride avec l’utilisation simultanée de nos APIs et de notre Portail Web.

APScan grâce à plus de 70 critères de paramétrage vous permet de configurer l’outil en fonction de votre politique Conformité et de votre appétence aux risques. APScan est disponible depuis n’importe quel endroit sur le globe (une simple connexion Internet suffit) et est disponible en plusieurs langues (FR, EN, ES), avec possibilité d’autres langues sur demande.

APScan respecte toutes les règlementations RGPD (*), la CyberSécurité est au cœur de nos préoccupations. APScan procède annuellement à des tests de sécurité/intrusion orchestrés par des sociétés indépendantes reconnues. Aujourd’hui, aucune contrainte Sécurité ne nous a résisté. De nombreux métiers exigeant en matière de sécurité, et des entreprises de toute taille, nous font déjà confiance, on peut citer par exemple des grands groupes connus pour leur appétence au risque zéro comme BNPP, BPCE, BPI, Sodexo… Technologiquement, notre API est conçue avec les derniers standards du marché : Web Service au format REST/JSON avec un système d’authentification sécurisé OAUTH2 (Bearer Token). Le no-code vous permet d’évaluer simplement et en temps réel toute la puissance de nos solutions. Nos solutions disposent d’un dispositif de sécurisation ultra complet : Sécurisation des transferts de données par chiffrage https avec certificat, ségrégation des espaces par un mur de Chine applicatif, stockage des mots de passe sous forme non réversible / Chiffrements des documents joints / Sauvegarde régulière des données (serveurs principaux et de secours) / Données localisées et sauvegardées en France / PCA / PRA … Nous assurons l’intégrité, la confidentialité et la traçabilité des contenus tout au long du processus, de la captation à la conservation pérenne de l’information. (*) RGPD : Le sigle RGPD signifie Règlement Général sur la Protection des Données (en anglais « General Data Protection Regulation » ou GDPR). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. Le contexte juridique s’adapte pour suivre les évolutions des technologies et de nos sociétés (usages accrus du numérique, développement du commerce en ligne…).

AP Solutions IO délivre, tous les 4 mois, une nouvelle version de l’application. Grâce au mode SaaS*, vous profitez automatiquement de ces évolutions sans action de votre part. AP Solutions IO se charge de tout, et c’est compris dans l’abonnement. Nous restons en permanence à votre écoute en cas de besoins spécifiques. (*) Saas : Le Software as a Service, ou Logiciel en tant que Service en français, est un modèle de distribution d’applications informatiques au sein duquel un fournisseur tiers héberge les applications et les rend disponibles pour ses clients par l’intermédiaire d’internet.

Oui la gestion des listes est bien sûre contrôlée par les autorités de contrôle :

• Au niveau du périmètre utilisé,
• Fréquence de mise à jour,
• Délai pour le re-criblage des entrées en relations (EER), et du portefeuille client.

Outre le moteur de recherche, c’est tout le dispositif de conformité qui est audité par les régulateurs. Celui-ci doit être en total alignement avec la politique conformité « théorique » de l’entreprise d’où la nécessité d’avoir un outil flexible et paramétrable… Mais surtout une traçabilité et une explicabilité précises et complètes.