Quelles sont les principales défaillances constatées au sein des organismes financiers ? Quels sont les enjeux et les défis pour 2024 ?
Nous vous proposons à travers cet article de revenir sur l’année 2023 en analysant les sanctions prononcées à l’encontre des institutions financières supervisées par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Nous parcourrons également des tendances et axes de travail pour 2024, à la lumière de l’actualité d’autres autorités.
En 2023, la Commission des sanctions de l’ACPR a prononcé 6 décisions de blâmes assortis de sanctions pécuniaires totalisant plus de 6,7 millions d’euros à l’encontre d’institutions financières, incluant des organismes d’assurance, des établissements de crédit spécialisés et des établissements de paiement et de monnaie électronique. Ces décisions sont motivées par divers manquements aux obligations règlementaires, notamment une connaissance insuffisante des clients et des lacunes dans les dispositifs de gel des avoirs.
Il y a une diminution significative à la fois du nombre et du montant total des sanctions pécuniaires prescrites. En effet, à titre de comparaison en 2022, 7 décisions de la Commission des sanctions ont été prononcées pour un montant total de 14,4 millions d’euros de sanctions pécuniaires. En 2021, 11 décisions ont été comptabilisées pour près de 17 millions d’euros de sanctions pécuniaires, soit une différence totale de près de la moitié des décisions et d’environ 10 millions d’euros de sanctions pécuniaires.
Parmi les 43 griefs retenus en 2023 (contre 39 en 2022), plusieurs défaillances récurrentes ont été identifiées, telles que la connaissance client ou KYC (Know Your Customer) et l’obligation de vigilance constante à l’égard de la clientèle. L’autre thème majeur visé par le superviseur concerne le gel des avoirs. En revanche, la thématique de gestion des contrats en déshérence, qui avait conduit à plusieurs sanctions en 2022, est quant à elle restée absente des décisions de l’ACPR publiées en 2023.
Les principaux griefs relevés par l’ACPR en 2023 concernent deux éléments essentiels dans la lutte contre le blanchiment de capitaux et le financement du terrorisme : la connaissance client et le gel des avoirs.
Le superviseur français a relevé une application imparfaite des obligations règlementaires en matière de KYC. Parmi les griefs retenus, l’ACPR a jugé la déclinaison opérationnelle d’une procédure KYC insuffisante en raison de l’absence de fréquence de revue des dossiers KYC. L’ACPR a également constaté l’absence de collecte de certains documents essentiels à la vérification de l’identité, à l’instar de l’extrait de registre national des bénéficiaires effectifs (RNBE), et des pratiques d’actualisation sporadiques, telles que l’actualisation de la connaissance client lors de la conclusion d’un nouveau contrat ou uniquement pour les clients présentant un risque élevé (en excluant les risques standard ou faible).
L’ACPR a rappelé que l’application de mesures de vigilance par contrat ou par compte plutôt que par relation d’affaires ne permet pas une prise en compte exhaustive des données clients pour appliquer les mesures de vigilance adaptées. La Commission des sanctions est également venue clarifier les obligations de prise en compte des informations négatives sur les clients, également appelée “adverse news” ou “negative news”. En effet, bien que les organismes assujettis ne soient pas soumis à une obligation de résultat en matière de connaissance actualisée de la clientèle, ils doivent cependant accomplir des diligences suffisantes pour recueillir les informations négatives que mentionnent notamment les médias ou les bases de données au sujet de leurs clients.
La détection de clients dits risqués a également fait l’objet de plusieurs griefs, avec notamment des cas de filtrage partiel de la base clientèle visant à identifier les Personnes Politiquement Exposées (PPE), ainsi que l’absence de mise en œuvre de mesures de vigilance complémentaires pour les clients dont la qualité de PPE avait bien été détectée. De plus, l’ACPR a constaté à plusieurs reprises que des décisions d’entrée ou de maintien de la relation d’affaires n’ont pas été systématiquement formalisées et que certains comptes ont été ouverts sans avoir fait l’objet d’un processus de validation approprié.
Comme en 2022, l’attention de l’ACPR s’est également portée sur les carences liées à la surveillance et au suivi des opérations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). En effet, le paramétrage du dispositif a été jugé plusieurs fois incomplet, inadapté et/ou défaillant, ne prenant pas suffisamment en compte certains critères tels que les revenus du client, et/ou ne déclenchant pas d’alerte ou de manière trop tardive.
Ainsi, l’ACPR a identifié plusieurs dossiers qui auraient dû faire l’objet d’un examen renforcé voire d’une déclaration de soupçon (DS) auprès de Tracfin. A cet égard, la Commission en a profité pour préciser la portée exacte des dispositions du Code Monétaire et Financier (CMF) qui définissent les obligations d’examen renforcé (ER) et de déclaration de soupçon à Tracfin.
Ces sanctions offrent l’opportunité aux professionnels des secteurs concernés d’améliorer leurs pratiques, en tirant des décisions du superviseur quelques enseignements essentiels.
Voici quelques actions concrètes qu’il convient de mettre en place pour garantir la conformité des différents acteurs :
Plusieurs décisions de l’ACPR en 2023 mettent en lumière les défaillances des dispositifs de détection des personnes visées par une mesure de gel des avoirs dans certains établissements financiers et s’inscrivent dans la continuité des précédentes sanctions de la Commission. Les contrôles sur place réalisés s’inscrivent aussi dans un contexte géopolitique complexe, à la suite de l’invasion de l’Ukraine par la Russie en février 2022 et de l’adoption de différents paquets de sanctions par l’Union européenne à l’égard de la Russie.
Bien que les conclusions générales sur le sujet soient plutôt rassurantes, les sanctions prises à l’égard de plusieurs établissements bancaires et d’un organisme d’assurance non-vie mettent en évidence la détermination constante de l’autorité en vue de garantir la détection des personnes visées par des mesures de gel des avoirs, indépendamment du versement ou non des fonds, et rappellent qu’il s’agit d’une obligation de résultat.
Les contrôles de l’ACPR relèvent par exemple l’absence de traitement des alertes ou de mise en œuvre immédiate des mesures de gel des avoirs. L’un des établissements a également été sanctionné en raison de l’absence de convention formalisée entre lui et son prestataire chargé du traitement de ces alertes, précisant les modalités et les délais de traitement des alertes en matière de gel des avoirs ainsi que les modalités de gestion des listes de faux positifs.
A ce titre, le paramétrage approprié de l'outil de criblage/filtrage est fondamental : le superviseur français a eu l’occasion de rappeler une nouvelle fois qu'un dispositif de détection fondé sur une correspondance orthographique parfaite (“exact match”) ne permet pas de respecter les obligations réglementaires applicables. En effet, un paramétrage inapproprié des outils de criblage/filtrage pourrait entraîner, soit la non-détection de personnes dont les noms ont été renseignés avec des variations orthographiques sur une liste de gel des avoirs, comme cela a été le cas en l’espèce, soit la génération d’un nombre excessif d’alertes.
La fréquence de criblage/filtrage doit également être adaptée. A titre illustratif, l’ACPR a jugé que les fréquences annuelle ou mensuelle du filtrage d’un organisme d’assurance sont insuffisantes, confirmant la jurisprudence de la Commission qui avait déjà décidé qu’une fréquence hebdomadaire est insuffisante. Cette décision met ainsi en lumière l’importance d’une surveillance régulière et rigoureuse des activités financières, suggérant qu’elle doit être effectuée au moins quotidiennement dans le secteur assurantiel.
L’ACPR a également souligné l’importance pour les établissements assujettis de s’assurer de la conformité de leurs prestataires externes aux obligations en matière de gel des avoirs, notamment pour la mise à disposition d’outils de détection.
La lutte contre le blanchiment de capitaux et le financement du terrorisme constituera vraisemblablement un enjeu majeur pour les institutions financières en 2024, particulièrement dans un contexte d'évolution technologique rapide et de mondialisation des transactions financières.
Les avancées technologiques, tout en offrant des opportunités, intensifient la cybercriminalité, notamment le blanchiment via l’utilisation d’actifs numériques, rendant la détection des opérations illicites plus complexe.
Une décision historique envers la principale plateforme de crypto-monnaies dans le monde a été publiée fin 2023 par le département du Trésor américain. Les sanctions prononcées, totalisant près de 4,4 milliards de dollars, ont également touché les individus clés, avec une sanction pénale pour le fondateur et des pénalités financières pour l’ancien responsable de la conformité.
Les manquements identifiés par le département du Trésor américain incluent le non-enregistrement de la plateforme sanctionnée en tant qu’établissement transmettant ou convertissant de l’argent (i.e. Money Services Business (MSB)) auprès des autorités américaines et le défaut de mise en place d’un programme efficace de lutte contre le blanchiment d’argent, y compris le non-respect des obligations en matière de connaissance du client pour un grand nombre de ses utilisateurs. L'enquête a également souligné que la plateforme avait délibérément ignoré l’obligation de signaler les transactions suspectes au FinCEN et son incapacité à atténuer les risques liés aux crypto-monnaies anonymes, compromettant ainsi la traçabilité des transactions. Il apparaît enfin que la plateforme a effectué plus de 1,67 million de transactions en crypto-monnaies entre des utilisateurs américains et des personnes dans des zones sous sanctions, en contournant ses propres contrôles géographiques en suggérant aux utilisateurs d’avoir recours aux réseaux privés virtuels (VPN).
En France, cette décision pourrait inciter à renforcer les contrôles des plateformes de crypto-monnaies pour assurer l’intégrité du secteur, enjeu central qui prendra une nouvelle dimension avec l’application prochaine de la règlementation Markets in Crypto-Assets (MiCA).
Le Parlement européen a adopté le 28 mars 2023 le règlement instituant la nouvelle autorité européenne de lutte contre le blanchiment d’argent, l’Anti Money Laundering Authority (AMLA).
Les missions de l’AMLA comprennent l’harmonisation des méthodes de contrôle, la centralisation des données relatives à la surveillance des entités assujetties, la supervision des autorités nationales et la facilitation de la coopération entre les cellules de renseignements financiers (CRF) nationales. L’AMLA exercera une surveillance directe des grands groupes financiers et des entités individuelles à haut risque. Elle sera dotée de pouvoirs étendus, pouvant imposer des sanctions pécuniaires allant jusqu’à 10% du chiffre d’affaires annuel total des entités assujetties.
L’introduction de l’AMLA vise à renforcer la coopération européenne, harmoniser les pratiques LCB-FT et créer un système de surveillance plus robuste. Les entités assujetties devront s’adapter à ces changements, anticipant des exigences accrues, des révisions de leurs dispositifs LCB-FT et des impacts financiers potentiels. L’adoption d’une 6ème Directive est planifiée pour fin avril 2024. Les premiers contrôles de l’AMLA pour une quarantaine d’établissements financiers devraient démarrer mi-2025.
Dans le cadre des sanctions prises par l’Union européenne à l’égard de la Russie en 2022, l’AMLA pourrait notamment contribuer à mettre en œuvre les sanctions financières de type saisies, confiscations et gels des avoirs.
L’ACPR a dévoilé son programme de travail pour l’année 2024 structuré autour de 4 grands axes :
Axe 1 : Maintenir et renforcer la sécurité et la solidité des secteurs de la banque et de l’assurance face aux risques macro-économiques, financiers et géopolitiques, en portant une attention particulière à la gestion actif/passif, au risque de liquidité et de refinancement, ainsi qu’aux impacts sur la stabilité financière
Axe 2 : Remédier aux vulnérabilités structurelles et être proactif dans l’identification, la prévention et la supervision des risques nouveaux et en développement, en se concentrant sur la transition climatique, la transformation numérique et le renforcement de la cybersécurité. A ce titre, l’ACPR continuera de suivre les travaux règlementaires en cours au niveau international (négociations des projets de directives DSP3 et Open Finance, mise en œuvre des règlements MiCA et DORA, transposition de la nouvelle directive sur les gestionnaires de crédit ou encore le règlement EMIR III)
Axe 3 : Identifier et remédier aux risques d’inconduite et maintenir les dispositifs LCB-FT à un niveau de haute qualité, en mettant l’accent sur la protection de la clientèle, la lutte contre l’écoblanchiment et la finalisation des nouvelles règlementations européennes en matière de LCB-FT en vue de la création de l’AMLA
Axe 4 : Poursuivre la modernisation et accroître l’efficacité de l’ACPR et contribuer au plan stratégique de la Banque de France, en mettant en œuvre des outils de supervision innovants, en améliorant la qualité des données et en renforçant l’expertise et l’attractivité de l’ACPR à travers le recrutement de talents dans différents domaines
L’ACPR accordera donc une attention particulière aux défis liés au climat et à la numérisation en 2024, imposant aux établissements d’identifier et de remédier aux nouveaux risques auxquels ils seront exposés.