L’ACPR (Autorité de Contrôle Prudentiel et de Résolution) émet sa première sanction de l’année pour des manquements très sérieux, qui affectaient gravement plusieurs éléments fondamentaux du dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT).
Treezor, l’un des leaders Français du Banking-as-a-Service (BaaS), écope d’une amende pécuniaire d’1 million d’euros et d’un risque réputationnel non-quantifiable (puisque, comme toutes les dernières sanctions, l’anonymisation de la sanction a été écartée par l’ACPR). A noter, l’ACPR a pris en compte le plan de remédiation de Treezor lors de son verdict…
Ce qu’il faut retenir de cette sanction :
- La détermination du Profil de Risque doit être adaptée à son activité mais également suffisamment discriminante.
- Même si la clientèle semble quasiment uniquement franco-française, cela n’enlève en rien que l’assujetti doit remplir ses obligations !
- La commission de l’ACPR n’hésite pas à s’appuyer sur de précédentes sanctions qui font jurisprudence et apportent précisions sur les dispositifs LCB-FT à mettre en place.
- Les listes « Adverse Media » sont une nouvelle fois pointées du doigt (après la sanction « AXA » de février 2023).
- A demi-mot, l’ACPR indique qu’un assujetti à un maximum de « 100 jours » à partir de la détection d’une alerte pour effectuer sa Déclaration de Soupçon (DS)
- L’explicabilité et traçabilité sont au cœur des reproches de cette sanction de l’ACPR puisque sur certains outils, Treezor n’a pas été en mesure d’expliquer leurs fonctionnements…
Voyons plus en détails les reproches :
Profil de risque
Qualités et pertinences des données
Comme beaucoup d’autres sanctions de l’ACPR, cette dernière n’échappe pas aux reproches concernant le niveau et la qualité de la connaissance client notamment des informations trop vagues, trop imprécises ou non-pertinentes ne permettant pas un profilage client et une classification des risques acceptables.
Dans cette sanction, l’ACPR liste quelques données qui, sans le dire, semble être les données fondamentales/minium :
- Pour les personnes physiques
- Nom
- Prénom
- Lieu de Naissance
On pourrait facilement ajouter à cette liste la Date de Naissance et la Nationalité/Citoyenneté.
- Pour les personnes morales
- Forme juridique
- Date immatriculation
On pourrait facilement ajouter à cette liste la Raison Sociale et l’identifiant national (comme le SIREN pour les personnes morales françaises)
D’autres données, impactant le Scoring/Profilage, sont également plébiscitées comme les Revenus, le Patrimoine, l’Objet de la relation d’affaire…
Bien sûr (mais vu la sanction, il est bon le rappeler), ces données doivent être fiables et justifiées !
Ratio des niveaux de risques
Point nouveau dans cette sanction, l’ACPR indique que les critères de profilage mis en place par Treezor ne sont pas assez discriminants ou en inadéquation avec son activité.
Concernant le caractère discriminant, l’ACPR constate trop peu de personnes (0,2% !) à risques « moyennement élevé » ou « élevé ». L’ACPR indique que les assujettis doivent avoir suffisamment de critères sur lesquels sont basées les règles de Scoring pour pouvoir avoir des résultats cohérents. Dommage, l’ACPR n’indique pas le ratio de personnes qu’elle attend en moyenne à ces niveaux de risques.
A titre d’exemple, l’ACPR propose des critères comme :
- Le client est-il entré en relation à distance ?
- La relation commerciale se fait-elle via un intermédiaire ?
- Le client est-il présent chez plusieurs intermédiaires ?
- …
Les résultats de détection (Sanction, Personnes Exposées Politiquement, mais aussi Adverse Media) doivent aussi être pris en compte dans le profilage d’un client.
Enfin, les règles de vigilance doivent aussi être cohérentes :
- par rapport à l’activité de l’assujetti.
Treezor avait mis en place des seuils de détection pour les virements à 10 000€ et 50 000€ alors que les virements moyens sont de 52€ et 819€. - Par rapport au profil de risque du client.
- Par rapport au KYC global.
Exemple : cumul des différentes opérations.
Avis APS
Il est indispensable que toutes les actions, décisions (manuelles ou automatiques), pièces justificatives, commentaires, etc. soient tracés et conservés dans votre outil LCB-FT, avec possibilité de les mettre à disposition à tout moment. Les rapports de contrôle de l’ACPR prouvent que les enquêteurs savent exactement quoi demander pour vérifier la mise en conformité des dispositifs LCB-FT. De plus, votre dispositif doit absolument être capable d’intégrer et d’analyser n’importe quelle donnée que vous pourriez lui transmettre. La qualité de ces informations transmises est essentielle pour que l’ACPR considère votre dispositif LCB-FT comme adéquat.
Il est indispensable qu’un outil de profilage permette un paramétrage dynamique permettant de prendre en compte et croiser différentes données, provenant de différentes sources.
Il est indispensable que les outils LCB-FT soient paramétrables et prennent en compte précisément tous les critères internes de Conformité. On remarque que l’ACPR est intraitable sur les éventuelles incohérences constatées entre la politique conformité théorique et la configuration de ses outils LCB-FT. D’ailleurs, ce paramétrage doit facilement être exportable pour pouvoir présenter et expliquer, à tout moment, à un auditeur, le fonctionnement du dispositif. Ce paramétrage doit également permettre d’automatiser certaines décisions afin de fluidifier les parcours clients/KYC.
Délai de déclaration
L’ACPR constate que certaines déclarations de soupçons ont été effectuées très tardivement : plus de 100 jours après la détection d’une alerte. Sans le dire, l’ACPR évoque à plusieurs reprises ce délai, serait-il le seuil qui déclenche le reproche lors de leurs audits ?
Attention, pour les mesures de sanctions/gels des avoirs, les assujettis doivent les appliquer sans délai !
L’ACPR reproche également à Treezor d’avoir beaucoup d’étapes manuelles dans son processus LCB-FT. Cela est jugé « rudimentaire » et ne permet pas de respecter toutes les obligations.
Avis APS
Il est indispensable que votre outil de criblage mette à jour continuellement l’ensemble des listes (GDA, Sanctions, PPE et proches, Risque réputationnel…).
Il est ensuite indispensable que votre outil filtre quotidiennement l’ensemble de votre portefeuille clients. Ce screening automatisé ne doit alors faire ressortir que les nouvelles alertes ou alertes ayant subi un changement majeur. Dans un souci de productivité, les alertes précédemment décidées n’ayant pas subi de changement majeur ne doivent pas être resoumises à la décision d’un opérateur/analyste LCB-FT.
Lors de l’entrée en relation, votre outil doit vous donner immédiatement l’information s’il existe ou non la moindre suspicion que votre prospect soit présent sur une liste officielle. Vous pouvez ainsi instantanément vous adapter en lui demandant, par exemple, des pièces complémentaires pour votre KYC.
Ce paramétrage doit également permettre d’automatiser certaines décisions afin de fluidifier les parcours clients (digitalisés) et les parcours KYC, ce qui offre :
- Productivité
- Sécurité
- Cohérence
Contrôle interne
Outre les différents griefs effectués, l’ACPR reproche à Treezor de ne pas avoir eu un Contrôle Interne efficace lui permettant notamment de détecter (avant l’audit ACPR) certains manquements comme :
- l’absence fréquente de pertinence des profils de risques des relations d’affaires, faute de prise en compte de critères importants de risques de BC-FT ;
- l’absence d’agrégation de l’ensemble des opérations réalisées par un même utilisateur ;
- l’absence de scenario paramétré en fonction du revenu de l’utilisateur, de sa situation professionnelle ou de son activité ;
- des seuils d’alertes de détection des opérations atypiques inadaptés aux opérations et aux profils des clients ;
- l’utilisation de seuils inadaptés à la détection d’opérations fractionnées ;
- la faible qualité des informations enregistrées dans le système d’informations.
Avis APS
Il est indispensable que les outils LCB-FT soient paramétrables et prennent en compte précisément tous les critères internes de Conformité. On remarque que l’ACPR est intraitable sur les éventuelles incohérences constatées entre la politique conformité théorique et la configuration de ses outils LCB-FT. D’ailleurs, ce paramétrage doit facilement être exportable pour pouvoir présenter et expliquer, à tout moment, à un auditeur, le fonctionnement du dispositif.
Dès lors qu’il y a une cohérence entre la politique Conformité théorique et ce qui est mis en pratique, le contrôle interne est simplifié.
Cependant, l’outil doit permettre d’extraire un grand nombre des données afin de pouvoir répondre aux différentes préoccupations opérationnelles, réglementaires, statistiques, …