Protection de la clientèle : quelle approche mettre en œuvre ?

Le 3 juillet 2013, la Commission des sanctions de l’Autorité de contrôle prudentiel a rendu sa décision à la suite d’une mission de contrôle sur place, relative au dispositif de droit au compte, menée au sein de LCL au cours de l’année 2012. Alors que les sanctions rendues lors de missions thématiques, sur le dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme notamment, s’échelonnent habituellement entre 300 000 et 800 000 euros environ [1] , le verdict rendu apparaît lourd : un blâme et une sanction pécuniaire de 2 millions d’euros.

La mission de l’ACPR

La décision souligne que le droit au compte s’adresse à « une population particulièrement défavorisée […] qui appelait une attention particulière ». Si d’aucuns avaient encore des doutes sur la priorité donnée par l’ACPR au sujet de la protection des intérêts du client, cette sanction devrait suffire à les lever.

Lors de sa création en 2010, l’ACPR s’est en effet vu conférer par la loi [2] une mission de protection des clients qui repose sur le contrôle des pratiques commerciales, la réponse aux demandes de la clientèle et un exercice de veille sur les campagnes publicitaires, les contrats, ainsi que sur les produits et services distribués.

Au plan réglementaire, cette mission de protection des intérêts du client s’est traduite par la publication de recommandations, au nombre de neuf depuis 2010, dont les thèmes sont variés : traitement des réclamations, commercialisation des comptes à terme, connaissance du client dans le cadre du devoir de conseil en assurance vie, prêts distribués aux particuliers comportant un risque de change…

Autre fait marquant : la publication de l’instruction 2012-I-07 relative au questionnaire sur l’application des règles destinées à assurer la protection de la clientèle. Ce questionnaire, annexé pendant deux années au rapport annuel sur le contrôle interne, fait désormais l’objet d’une communication distincte au plus tard le 30 juin de chaque année [3] . Constitué, en introduction, de données statistiques à communiquer sur le type d’activités exercées et le volume des opérations réalisées, le questionnaire aborde ensuite de manière extrêmement détaillée les modalités mises en œuvre par les établissements financiers afin de protéger au mieux les intérêts de leurs clients…

Il apparaît aujourd’hui clairement, au vu à la fois de ce questionnaire et de la décision de sanction orientée sur un point précis de la réglementation, que le sujet de la protection de la clientèle nécessite une approche spécifique et des mesures ciblées.

Identification des risques potentiels…

Le déploiement d’une approche spécifique repose sur la construction d’un référentiel réglementaire et la mise en place d’un processus d’actualisation – autrement dit de veille réglementaire – approprié, qui permette d’identifier tous les textes liés à la thématique de protection des intérêts du client en fonction des activités exercées et des produits et services distribués. La construction du référentiel mérite réflexion : c’est un outil de pilotage de la conformité qui doit être exhaustif, mais avec un niveau de granularité approprié, et dont la présentation doit en permettre une lecture pertinente et une mise à jour aisée. L’écueil à éviter est d’élaborer un outil lourd, trop détaillé, et dont la maintenance, consommatrice de temps, serait vite abandonnée faute de moyens humains à y consacrer. L’objet n’est pas la réécriture ou la copie des textes réglementaires, mais bien de disposer d’une vision d’ensemble facilement accessible du corpus réglementaire auquel l’établissement est soumis, car de là vont découler l’identification des risques et la mise en place du système de contrôle interne. Certaines clés peuvent être introduites pour en faciliter l’élaboration : quels sont les produits et services concernés (crédit, dépôt, épargne, assurance dont assurance vie…) ? L’établissement est-il uniquement distributeur ou également producteur ? A-t-il recours à des intermédiaires ? Les produits et services sont-ils distribués uniquement en agence ou en ligne ? La référence réglementaire est indispensable, afin de pouvoir remonter à la source lorsque les travaux précis de cartographie, et les contrôles seront déployés.

…et veille réglementaire

Le processus d’actualisation doit ensuite être clairement déterminé sur plusieurs points :

• les acteurs : identification du responsable et des personnes intervenant dans l’élaboration de la veille, mais aussi des personnes destinataires ;
• le périmètre couvert : produits et services, canaux de distribution, typologie de clientèle ;
• les règles et normes concernées : dispositions législatives et réglementaires, codes de conduite, recommandations de l’ACP, engagements professionnels ;
• les modalités de collecte : en cas d’intervenants multiples, identification des modalités de collecte et de centralisation ;
• le dispositif d’analyse : évaluation des impacts et de leur caractère plus ou moins significatif au vu des activités de l’établissement ;
• les modalités de diffusion : définition du format de restitution, périodicité de diffusion ;
• les modalités de prise en compte des évolutions dans les procédures et processus métier et les modalités de prises de décision en cas d’impacts nécessitant des développements informatiques et donc le déblocage de budgets dédiés.

Les textes n’imposent pas de règle en matière d’organisation : certaines institutions confient la veille à la direction juridique, d’autres à la conformité ou préfèrent responsabiliser chaque métier et fonction support sur le périmètre qui le concerne, la centralisation et le partage d’informations étant organisés au sein d’un comité dédié. S’agissant d’être réactif, notamment en cas d’impacts importants sur les processus exigeant des aménagements du système d’information, le recours à un comité peut permettre d’assurer le partage d’une information homogène et des prises de décision rapides.

Pour bon nombre d’établissements, le processus de veille ainsi décrit existe déjà et est opérationnel. Il s’agit donc simplement de s’assurer que la protection des intérêts du client et l’ensemble des thématiques qu’elle recouvre y sont bien intégrés. L’écueil à éviter est une méconnaissance des obligations et/ou une déperdition de l’information, notamment du fait du nombre élevé de parties prenantes (conformité, juristes, marketing, responsables produits…).

Une cartographie spécifique

Une fois le référentiel réglementaire construit et le processus d’actualisation défini, l’établissement dispose des outils lui permettant de recenser les risques de non-conformité majeurs sur le sujet de la protection de la clientèle. À ce stade, la question se pose de la nécessité d’une cartographie spécifique. Comme pour la fraude s’agissant des risques opérationnels, ou comme pour la lutte contre le blanchiment des capitaux s’agissant du risque de non-conformité, et bien que l’objectif recherché ne vise pas à multiplier les outils, le sujet ne peut être circonscrit par une approche trop générale. Il est important d’établir la passerelle entre le référentiel réglementaire évoqué précédemment et les risques de non-conformité auxquels est potentiellement exposé l’établissement : on peut ainsi lister les manquements potentiels s’agissant du droit au compte (voir Encadré 1). Décliner chaque risque potentiel de la sorte peut sembler fastidieux. Néanmoins, la lecture de la sanction rendue le 3 juillet dernier montre qu’un certain nombre de ces manquements ont été relevés par l’Autorité de contrôle lors de sa mission : prélèvement de cotisations sur les cartes de paiement, non-respect de la gratuité des deux formules de chèque de banque par mois, application de frais de virements bancaires vers la zone euro, erreur lors de la mention du délai de préavis prévu par la loi en cas de fermeture du compte… L’exercice semble donc incontournable, quel que soit le choix retenu en matière de formalisation, et ce pour l’ensemble des activités exercées et des produits et services distribués.

Une criticité du risque… toujours maximale

Une fois ce recensement opéré, la revue de la criticité du risque mérite d’être examinée, mais sans que l’approche à déployer soit similaire avec ce qui peut être fait lors des exercices de cartographies de risques opérationnels. En effet, en matière de conformité, une analyse d’impacts du type probabilité de survenance/évaluation de l’impact semble peu pertinente, sauf si l’établissement considère que tant qu’il n’est pas pris en défaut, par l’Autorité ou par un (ou des) client(s), il ne risque rien. Cette position du « pas vu pas pris » se rencontre dans certains établissements, mais reste naturellement discutable au plan déontologique ! Quant au principe de proportionnalité, il ne semble pas pouvoir véritablement s’appliquer autrement que pour peut-être prioriser certains chantiers de mise en conformité, mais qui devront être menés à terme de toute façon, selon un calendrier déterminé. En effet, dans l’exemple que nous avons analysé, la sanction s’élève à 2 millions d’euros pour seulement 10 816 comptes ouverts identifiés dans le cadre du droit au compte. Une revue des sanctions récentes qui ont été rendues et une lecture de la jurisprudence sont toujours des initiatives utiles, car sources d’enseignement… mais pas dans une optique d’évaluation de l’impact en cas de survenance du risque. L’approche selon laquelle le risque est maximal en cas de non-conformité semble en effet rester la démarche la plus prudente, et surtout la plus réaliste dans le contexte actuel (priorité donnée par l'ACPR à ce sujet, réputation des banques, introduction probable dans la loi des actions collectives [4] ). Des indications concernant l’impact potentiel sur l’image peuvent également enrichir la cartographie, à titre informatif et selon une échelle graduée : absence d’information dans les médias, diffusion dans les médias professionnels et spécialisés à destination d’un public restreint, diffusion dans les médias généralistes nationaux ou internationaux.

Les dispositifs de gestion du risque passés à la loupe

Enfin, il y a lieu d’évaluer le dispositif de maîtrise existant pour chacun des risques identifiés, ainsi que son efficacité théorique. Généralement, plusieurs critères sont examinés : l’établissement dispose-t-il d’une organisation permettant la maîtrise du risque ? Est-il doté de procédures spécifiques décrivant des contrôles de 1^er niveau ? Ces procédures sont-elles connues et appliquées ? Le système d’information (outils de Place ou développés en interne) permet-il une sécurisation du processus (séparation des tâches, maker/reviewer obligatoires sur certaines transactions, archivage obligatoire de certaines pièces sous peine de bloquer la transaction) ? Si le dispositif de maîtrise est inexistant ou inefficace, il convient de dégager les plans d’action nécessaires qui supposent des interventions de terrain, en étroite collaboration avec les acteurs de la relation commerciale, mais aussi avec les fonctions support concernées.

La fonction conformité sur le terrain…

Bien qu’absolument nécessaires, ces travaux de veille réglementaire et de cartographie des risques ne suffisent pas à la mise en œuvre d’un dispositif complet et efficace de protection des intérêts des clients. La fonction conformité ne peut s’abstenir d’une présence forte sur le terrain. Au-delà du rôle de contrôle a posteriori qu’elle endosse et qui lui est connu, il s’agit ici d’un rôle de conseil et d’actions a priori, en support des métiers, et visant à prévenir le risque de non-conformité en matière de protection des intérêts du client.

Le Règlement 97-02 modifié prévoit dans son article  11-1 [5] la formulation par la fonction conformité d’un avis préalable sur tout nouveau produit ou toute modification significative d’un produit existant. Il convient de s’assurer que le dispositif existant intègre bien la conformité au regard des règles en matière de commercialisation et de protection des intérêts de la clientèle. L’objectif vise à s’assurer que le nouveau produit – son objet, sa nature, les modalités de tarification, la clientèle à laquelle il est destiné – et l'ensemble des éléments qui l’accompagnent – support publicitaire, documents d’aide à la vente destinés aux chargés de clientèle, supports de formation le cas échéant, projets de documents précontractuels et contractuels – permettent d’assurer une protection optimale des intérêts du client. Les informations fournies sont-elles exhaustives et exactes ? Sont-elles équilibrées ? Cohérentes entre elles ? Les critères de loyauté et de clarté sont-ils satisfaits ? Autant de questions qui se doivent de trouver une réponse positive, sous peine d’encourir un risque de non-conformité et un risque d’image.

…face au marketing et aux fonctions commerciales

L’enjeu est l’intégration de la fonction conformité dans un processus souvent existant, et parfois à la main uniquement du marketing ou des fonctions commerciales, et ce dans un contexte de contraintes fortes : pression concurrentielle, délais restreints pour sortir le produit et engager les actions de communication… Le rôle et les pouvoirs de la fonction conformité doivent être approuvés – voire même promus – par la gouvernance de l’établissement, connus de tous, surtout si un droit de veto lui est octroyé. La responsabilité de la décision finale de mise sur le marché doit en effet être précisément définie, ainsi que les modalités d’arbitrage par la direction générale, le cas échéant. La fonction conformité doit disposer des moyens d’affirmer son rôle, notamment en termes de temps : les métiers doivent accepter qu’un temps incompressible soit nécessaire à la revue d’un ensemble de documents et à la formulation d’un avis pertinent. Dans la pratique, la gestion de cette contrainte de temps n’est pas toujours simple. Selon la culture de l’établissement, la fonction conformité doit parfois encore faire ses preuves et démontrer sa valeur ajoutée.

Un périmètre large d’intervention

Outre le thème des nouveaux produits, la fonction conformité se doit d’être au plus près du terrain pour anticiper un certain nombre de problématiques, en collaboration avec les métiers concernés par la relation commerciale directe et également les fonctions support (direction juridique, des ressources humaines…). Ici encore, c’est l’action préventive de conseil dont il s’agit.

À titre d’exemple, voici quelques sujets à traiter :

• Les besoins de formation des chargés de clientèle sont-ils correctement recensés au regard de l’ensemble des évolutions réglementaires ? Les formations à la vente intègrent-elles la protection des intérêts du client ? L’accent est-il mis sur les comportements à éviter (agressifs, trompeurs…) ?
• Le mode de rémunération favorise-t-il les situations de conflits d'intérêts ? Les objectifs fixés aux collaborateurs comprennent-ils des critères qualitatifs de respect des règles de protection de la clientèle ?
• Le devoir de conseil, de mise en garde, d'explication correspond-il aux normes de qualité attendues ? Le conseil et les mises en garde sont-ils correctement formalisés ? La stratégie d'investissement proposée est-elle corrélée à une étude approfondie de la situation financière du client et de ses objectifs ? Les argumentaires de vente et outils d'aide à la vente sont-ils conçus au regard des principes de protection des intérêts du client ?
• les questionnaires pour déterminer le profil des clients sont-ils adaptés ? Les critères de connaissance et de compréhension du produit, y compris celui d’appétence au risque, sont-ils pris en compte ? Les chargés d'affaires maîtrisent-ils les questionnaires et les enjeux du profilage ?

Chacun de ces sujets, s’il n’est pas appréhendé correctement, doit naturellement faire l’objet d’un chantier de mise en conformité, animé par la fonction conformité, avec les collaborateurs concernés, et s’accompagner d’une mise à jour des processus opérationnels. Les travaux doivent parfois être menés en liaison avec les plus hautes instances de l’établissement et les partenaires sociaux, par exemple sur le sujet sensible de la rémunération des commerciaux.

Contrôle permanent et contrôle périodique

Dernier volet du dispositif : le système de contrôle interne dont le périmètre doit couvrir la thématique de protection des intérêts du client, de manière permanente (à la main des départements de contrôle permanent) et périodique (à la main des services d’audit interne).

S’agissant du contrôle permanent, la définition des points de contrôle et la détermination de la fréquence de réalisation (mensuelle, trimestrielle, semestrielle, voire annuelle) peuvent reposer sur la cartographie des risques, qui constitue une bonne base de travail (voir Encadré 2). Les points de contrôle peuvent sembler précis et extrêmement détaillés (voir Encadré 2), mais derrière chacun d’eux se cache un risque de non-conformité potentiel, comme évoqué plus haut. Des arbitrages seront parfois opérés parmi l’ensemble des contrôles à mener, en fonction des moyens et des ressources à disposition, à la main du contrôleur permanent : il décidera sur la base de son expérience des risques résiduels de l’établissement. Les résultats doivent naturellement être formalisés et lus au regard de l’évaluation du dispositif de maîtrise effectuée lors de la cartographie. Un ajustement de cette dernière peut s’avérer nécessaire si l’établissement avait estimé que certains risques étaient maîtrisés alors que cela n’est pas le cas. La restitution ne doit pas être négligée. Il est nécessaire, dans une démarche pédagogique, de communiquer auprès des opérationnels concernés sur les résultats, notamment pour ce qui concerne les contrôles de 1^er niveau dont des défaillances auraient été mises en évidence par le contrôle permanent de 2^e niveau.

S’agissant du contrôle périodique, le programme de missions de contrôle doit inclure dans son champ les thématiques visant la commercialisation et le respect des intérêts du client. L’objectif est de disposer d’une opinion objective sur les processus en place, et sur le dispositif de contrôle interne (niveau 1/niveau 2) existant. Traiter le sujet en une fois peut sembler ambitieux, sauf si la taille de l’établissement le justifie. Une approche par thème (le devoir de conseil, le traitement des réclamations, le droit au compte…) ou par produit/service (la distribution des contrats d’assurance vie, des crédits…) semble plus envisageable.

La nécessité du pilotage… et ses limites

Sur ce sujet, les établissements ont aujourd’hui à faire face à une recrudescence des textes (recommandations de l’ACPR, directives européennes…) et à une intensification des contrôles des autorités. La précision des textes et les attentes fortes de la part des autorités qui en découlent en matière de conformité ne laissent pas la place à l’improvisation. La mise en place d’un pilotage structuré du sujet est nécessaire.

Une des questions majeures qui subsiste néanmoins est celle de la conciliation entre cet objectif certain de conformité et les objectifs de développement commerciaux. La communication et le travail conjoint d’acteurs multiples qui jusqu’alors vivaient avec leurs objectifs propres constituent un vrai challenge dans bon nombre d’établissements. Est-ce là la garantie d’un risque résiduel nul ? Répondre positivement équivaudrait à oublier l’autre question majeure sous-jacente à la protection des intérêts du client : celle de l’éthique professionnelle. Il ne s’agit plus ici ni de règles ni de normes, mais de déontologie personnelle, d’attitude, de discours face au client… Autant de limites possibles à des procédures pourtant rigoureuses et qui montrent que tout projet de mise en conformité est indissociable d’un accompagnement humain et d’une démarche pédagogique. Faire changer les comportements, voilà le véritable challenge.

1 L’article 612-39 du Code monétaire et financier indique que la Commission des sanctions peut prononcer l'une ou plusieurs des sanctions disciplinaires suivantes, en fonction de la gravité du manquement : l’avertissement, le blâme, l'interdiction d'effectuer certaines opérations et toutes autres limitations dans l'exercice de l'activité, la suspension temporaire d'un ou plusieurs dirigeants, la démission d'office d'un ou plusieurs dirigeants, le retrait partiel d'agrément, le retrait total d'agrément. La Commission des sanctions peut prononcer, soit à la place, soit en sus de ces sanctions, une sanction pécuniaire au plus égale à 100 millions d'euros. 2 Article L. 612-1 du Code monétaire et financier : « L’Autorité de contrôle prudentiel veille à la préservation de la stabilité du système financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes soumises à son contrôle. » 3 La date de reporting à l’ACP est exceptionnellement fixée au 30 septembre 2013 au titre de l’année 2012. 4 Il s'agit d’une mesure phare du projet de loi Hamon sur la réforme de la consommation, adoptée en première lecture à l’Assemblée. 5 Article 11-1 : « Les entreprises assujetties prévoient des procédures spécifiques d’examen de la conformité, notamment des procédures d’approbation préalable systématique, incluant un avis écrit du responsable en charge de la conformité ou d’une personne dûment habilitée par ce dernier à cet effet, pour les produits nouveaux ou pour les transformations significatives opérées sur les produits préexistants, pour cette entreprise ou pour le marché. »