Les griefs notifiés ont été les suivants :
1. Sur l’enregistrement de la société A comme agent de prestataire de services de paiement
Selon le grief 1, l’EME a ouvert des comptes de paiement auprès du public pour des clients de la société A et fait transiter par ces comptes des volumes d’opérations significatifs dès le mois de juillet 2020, alors qu’elle n’a déposé auprès de l’ACPR une demande d’enregistrement de la société A en tant qu’agent de PSP que le 17 août 2020. Cette demande était toujours en cours d’examen lorsque les deux sociétés ont mis fin à leur relation contractuelle et que, le 14 avril 2021, la demande a été retirée.
Entre le mois de juillet 2020 et le mois de mars 2021, 1 672 comptes ont été ouverts pour 810 personnes physiques et 5 723 transactions ont été exécutées sur les 328 comptes actifs pendant cette période, pour un montant total de 3,2 millions d’euros. De plus, après le retrait du dossier d’enregistrement de la société A en qualité d’agent de l’EME, 33 comptes ouverts par l’EME et demeurés inactifs jusqu’alors sont devenus actifs entre avril 2021 et juin 2021.
À compter de juillet 2020, l’EME et la société A se sont engagées dans un partenariat, dont l’objet et les modalités ont été définis par un contrat de mandat signé seulement le 8 octobre 2020. L’EME indique elle-même que ce partenariat a été mis en œuvre avant la signature formelle du contrat, pendant ce qu’elle qualifie de phases de test.
L’EME a confié à la société A le mandat de participer, pour son compte, à la fourniture des services de paiement mentionnés aux 2°, 3° et 5° de l’article L. 314-1 du Code monétaire et financier (CMF.) À ce titre, la société A était notamment habilitée à démarcher les prospects afin qu’ils ouvrent, à partir de sa plateforme, un compte de paiement dans les livres de l’EME ; elle était chargée de conclure avec eux des accords cadres en vue de l’ouverture des comptes, de gérer l’ensemble des procédures liées à cet accès en ligne à des comptes ainsi que l’ensemble des relations avec les clients et de transmettre à l’EME les ordres de paiement de ces derniers.
L’EME a mis à la disposition de la société A l’interface de quatre programmations applicatives (API) et lui a imposé de conclure un contrat, en vue de la « manipulation des services de paiement », avec le sous-traitant qu’elle lui a désigné, la société B. L’EME, prestataire de services de paiement, a ainsi fait de la société A son agent.
2. Sur le contrôle des activités externalisées
Selon le grief 3, le dispositif de contrôle interne dédié aux activités externalisées auprès de la société A a été défaillant dans son ensemble. Au motif que la demande d’enregistrement de la société A était en cours de traitement par les services de l’ACPR, le contrôle de ces activités n’a pas été mis en œuvre par l’EME entre juillet 2020 et août 2021, date à laquelle la quasi-totalité des comptes ouverts au nom d’utilisateurs de la plateforme de la société A ont été fermés. Cette carence générale dans le contrôle des activités de la société A est illustrée par plusieurs défaillances.
L’absence de contrôle sur les ordres de virements. L’EME n’a pas vérifié que la société A s’assurait que les opérations étaient systématiquement réalisées à l’initiative des clients. En effet, il ressort des constats du rapport de contrôle que les instructions de paiement reçues via l’API donnaient automatiquement lieu à des ordres de virement sans que cela ait été vérifié.
L’absence de contrôle du respect de la procédure d’identification du client par la société A. Aucun dispositif de contrôle n’a été mis en place par l’EME pour s’assurer que la procédure d’identification des clients avait été exécutée par la société A et que les diligences en matière de connaissance de la clientèle avaient été effectuées.
Il ressort en effet du rapport de contrôle que 111 clients au moins ont pu ouvrir un compte de paiement sans que leur pièce d’identité ait été validée.
L’absence de détection d’opérations frauduleuses par l’EME : en mars 2021, la société A a été utilisée par des clients de nationalité étrangère qui ont ouvert des comptes pour y transférer des fonds suspectés de provenir de fraudes de type phishing ou grâce à de faux appels téléphoniques. Or, malgré une volumétrie atypique de nouveaux clients dont la plupart ne correspondaient pas au profil de la clientèle de la société A et dont les premiers virements reçus ne provenaient pas du titulaire du compte, l’EME n’a pas pallié l’inertie de la société A notamment en procédant au blocage des fonds.
L’absence de contrôle du traitement des alertes LCB-FT par la société A. Le partenariat entre les deux sociétés prévoyait à cet égard que la société A devait établir et mettre en œuvre son propre dispositif de contrôle permanent de niveaux 1 et 2, tandis que l’EME, en plus de la mise en place d’un contrôle périodique de son partenaire, se chargeait de la supervision des rapports de contrôle et devait intervenir en cas de manquement. Or, selon le rapport de contrôle, ce dispositif n’avait pas été effectivement mis en œuvre entre juillet 2020 et août 2021.
3. Sur la protection de la clientèle
Selon le grief 4, l’EME a procédé à la clôture des comptes de paiement ouverts via la société A sans préavis et sans en informer les clients sur support papier ou sur un autre support durable.
4. Sur les déclarations à Tracfin
Selon le grief 6, l’EME n’a effectué aucune déclaration de soupçon à la suite des examens renforcés réalisés entre juillet 2020 et août 2021. Pendant toute la durée de son activité, seuls huit examens renforcés ont été réalisés par l’EME et ce, à la suite des signalements envoyés par un établissement dont des clients avaient été lésés. Or, alors même que l’EME a déclaré pour les huit dossiers en question qu’ils ne laissaient « aucun doute sur un schéma d’escroquerie », aucun n’a fait l’objet d’une déclaration de soupçon au moment du contrôle
Au titre de ses obligations de surveillance des opérations de sa clientèle, une entreprise assujettie doit, en vertu de la première phrase de l’article L. 561-10-2 du CMF, procéder à un examen renforcé des opérations qui, même si elles ne font pas nécessairement soupçonner, en l’état, qu’elles pourraient porter sur des sommes provenant d’une infraction, constituent cependant des anomalies au regard du profil de la relation d’affaires en cause pour une ou plusieurs des quatre raisons mentionnées par ces dispositions. Si, à l’issue d’un tel examen, les renseignements obtenus auprès du client permettent de considérer que l’opération en cause ne présente en réalité aucune anomalie, il appartient seulement à l’organisme assujetti de conserver des justificatifs de l’examen auquel il a procédé. Dans le cas contraire, il incombe à l’organisme, en vertu du III de l’article L. 561-15 du CMF, de procéder à une déclaration de soupçon 10 à Tracfin. n
