Une amende de 100 millions de dollars pour Royal Bank of Scotland

Dans une action concertée et avec quatre décisions rendues publiques le 11 décembre 2013 [1] , le Conseil des gouverneurs de la Réserve fédérale américaine, l’Office of Foreign Assets Control (OFAC) et le Département des services financiers de l’État de New York (DFS) [2] ont conclu une transaction globale [3] avec le groupe Royal Bank of Scotland (« groupe RBS ») et l’établissement Royal Bank of Scotland plc (« RBS ») pour éteindre les poursuites éventuelles au titre de violations apparentes des programmes de sanctions américaines à l’encontre de plusieurs États. De plus, le groupe RBS et RBS ont été mis en demeure par le superviseur fédéral américain de prendre une série de mesures pour remédier aux défaillances identifiées. Dans la mise en exécution du Cease and Desist Order [4] délivré à l’encontre du groupe RBS et de RBS, le Conseil des Gouverneurs de la Réserve fédérale est assisté par le superviseur du pays d’origine du groupe RBS, la Financial Conduct Authority britannique [5] .

Au-delà du montant à régler, les engagements et mesures correctives devant être réalisés par le groupe RBS et RBS conduisent à s’interroger sur la portée du droit américain des sanctions et sur le risque que cela représente pour des établissements financiers non américains.

Les faits reprochés au groupe RBS et à RBS

Les autorités américaines ont reproché au groupe RBS et à RBS d’avoir organisé le contournement des sanctions américaines. Entre 2002 et 2011, RBS, agréée comme banque étrangère par le DFS, a réalisé plus de 3 500 transactions, d’un montant total approximatif de 523 millions de dollars américains, avec des banques correspondantes à New York. Ces transactions ont notamment impliqué des clients et bénéficiaires soudanais et iraniens. Parmi eux figuraient un certain nombre d’entités inscrites sur la Specially Designated List de l’ OFAC [6] , entités dont les avoirs doivent être bloqués.

L’accès de ces entités au système financier américain a été rendu possible par le fait que RBS a élaboré et mis en œuvre une procédure pour réaliser des opérations en dollars sans que les informations pertinentes nécessaires à l’identification d’entités visées par les sanctions américaines ne soient présentes dans les instructions de paiement transmises aux banques correspondantes à New York.

Par exemple, les paiements de couverture envoyés aux établissements financiers américains ne comportaient pas d’information sur un lien éventuel avec l’Iran. Dans le champ de l’instruction de paiement relatif à la banque bénéficiaire, les opérateurs de RBS renseignaient le nom de la banque iranienne, plutôt que son code BIC [7] , avec le code pays de la Grande-Bretagne plutôt qu’avec celui de l’Iran. Ce procédé permettait à un établissement financier non américain, à partir des informations contenues dans le message MT103, d’identifier la banque bénéficiaire finale du paiement comme étant une banque iranienne. En revanche, ce procédé empêchait le système de paiement de RBS d’inclure automatiquement des références à la banque iranienne dans le message de couverture (MT202 COV). Des informations n’étaient donc pas présentes dans les messages de paiement envoyés aux banques américaines correspondantes (pour le clearing des opérations) [8] .

Ce procédé a fait l’objet d’instructions détaillant la façon dont devaient être remplis les messages de paiements libellés en dollars américains. Elles ont, entre autres, été publiées sur l’Intranet de RBS. Les collaborateurs du groupe semblent avoir utilisé ces procédures pour réaliser des paiements en dollars impliquant d’autres pays visés par des programmes de sanctions américaines [9] . En dépit de l’adoption de nouvelles politiques et procédures internes en 2003 et 2006, rappelant l’obligation pour les paiements libellés en dollars américains d'être conformes à la législation américaine, plusieurs responsables en charge du management et/ou de la surveillance des opérations de correspondance bancaire et de paiement ont continué à donner des instructions sur la manière de traiter ce type de paiements [10] .

Les autorités américaines ont relevé que la conduite de RBS avait été contraire à la sécurité nationale et à la politique étrangère des États-Unis, plusieurs personnes soumises aux sanctions américaines ayant pu retirer un avantage de cette situation.

En sus des violations des différents programmes de sanctions de l’OFAC (voir Tableau 1), RBS a enfreint différentes dispositions de la loi pénale de l’État de New York [11] ainsi que les dispositions du New York Codes, Rules and Regulations [12] . Par ailleurs, le superviseur bancaire au niveau fédéral a reproché au groupe RBS d’avoir un dispositif de gestion des risques défaillant, notamment dans la revue de ses politiques et procédures permettant au groupe de s’assurer que les activités conduites hors du territoire américain étaient conformes aux règlements de l’ OFAC [13] . Le superviseur a également rappelé le précédent Cease and Desist Order (équivalent à une mise en demeure) du 26 juillet 2011, approuvé par RBS pour remédier aux déficiences de ses succursales américaines en matière de gestion du risque et de non-conformité au regard des dispositions du Bank Secrecy Act, des règlements issus par le Département du Trésor américain, du règlement K du Conseil des Gouverneurs sur les obligations en matière de lutte contre le blanchiment, des différentes lois en matière de sanctions économiques [14] et des règlements de l’OFAC.

Le montant de la pénalité

Selon l’OFAC, le montant de la transaction s’explique par :

• le fait que plusieurs membres du management de RBS en charge de la gestion et/ou de la surveillance des opérations de correspondance bancaire et de paiement étaient au courant de ces faits ;
• la sophistication globale de l’organisation du groupe RBS ;
• le fait que RBS n’a pas mis en place ni appliqué des politiques et procédures adaptées à même d’assurer la conformité des opérations aux programmes de sanctions américaines.

Quand bien même RBS a initié, en 2010, des investigations internes sur ses pratiques et a volontairement alerté les autorités compétentes, à savoir le DFS, la Federal Reserve Bank de Boston et son superviseur d’origine, la Financial Services Authority anglaise, l’OFAC a considéré que la conduite de l’établissement avait été imprudente, ce qui a eu un impact sur le calcul de l’amende. Le montant maximal de la pénalité prévue par la législation américaine était de plus de 132 millions de dollars [15] . Le montant de la pénalité de base [16] était de plus de 66 millions de dollars (voir Tableau 1).

Les autorités américaines ont pris en compte les efforts de coopération de RBS, les mesures disciplinaires internes [17] prises par RBS et les actions réalisées d’une part, pour corriger les défaillances de son dispositif de prévention du blanchiment et de conformité aux programmes de sanctions américaines et, d’autre part, améliorer ses dispositifs de contrôle sur le respect des règles de l’OFAC dans ses implantations en dehors des États-Unis.

Initialement, l’amende s’élevait à presque 133 millions de dollars (50 millions à régler au DFS, 50 millions à la Federal Reserve Bank of Boston et 33 millions à l’OFAC). Au final, elle a été ramenée à 100 millions, l’OFAC ayant considéré que le montant de 33 millions de dollars était réputé payé si RBS s’acquittait du paiement d’un montant au moins équivalent à la Federal Reserve Bank of Boston.

Les engagements imposés à RBS et la portée du droit américain des sanctions

Le groupe RBS et RBS, dans les 90 jours suivant la parution du Cease and Desist Order du Conseil des Gouverneurs, doivent soumettre un programme de conformité aux règlements de l’OFAC en ce qui concerne l’ensemble des lignes métiers du groupe RBS. Ce programme doit comporter un échéancier de mise en œuvre. Il comporte au moins [18] :

• une évaluation annuelle des risques de non-conformité à l’OFAC de l’ensemble des activités et des clients du groupe RBS et des filiales de RBS. Cette évaluation inclut les risques pouvant provenir de la réalisation d’opérations (transaction processing) et des activités de trade finance conduites par ou via RBS ;
• des politiques et procédures permettant à l’ensemble des lignes métiers de RBS d’agir en conformité avec les règles de l’OFAC, notamment en ce qui concerne le balayage des transactions et les activités de trade finance pour les clients directs et indirects du groupe RBS et des filiales de RBS ;
• la mise en place d’un système de reporting dédié à la conformité aux règles de l’OFAC. Ce système doit être largement diffusé au sein du groupe et intégré aux autres systèmes de reporting. Les collaborateurs y renseignent les violations connues ou supposés des règlements de l’OFAC. Le système permet aux cas suspects d’être promptement portés à la connaissance des personnels de la fonction conformité compétents, pour leur traitement et signalement ;
• des procédures permettant au programme de conformité aux règlements de l’OFAC d’être dotés des moyens humains et financiers suffisants ;
• une formation des collaborateurs du groupe RBS et de RBS aux problématiques liées à la réglementation de l’OFAC, formation adaptée au niveau et aux responsabilités des collaborateurs et dispensée selon une fréquence régulière ;
• un programme d’audit visant à évaluer la conformité aux règlements de l’OFAC.

Jusqu’au terme du Cease and Desist Order, afin de s’assurer que le programme de conformité aux règles de l’OFAC est à même de détecter et signaler des transactions soumises aux sanctions de l’OFAC, le groupe RBS et RBS doivent conduire, selon une fréquence annuelle, une revue des politiques et procédures de conformité aux règles de l’OFAC et de leur mise en œuvre par les lignes métiers du groupe ( OFAC Compliance Review), ainsi qu’une analyse, selon une approche par les risques, d’un échantillon de transactions libellées en dollars américains.

La première OFAC Compliance Review devra être réalisée un an après la date du Cease and Desist Order par un consultant indépendant accepté par le Conseil des Gouverneurs et la Financial Conduct Authority. Le programme de travail de ce consultant devra être envoyé préalablement aux superviseurs. Chaque OFAC Compliance Review devra être conduite selon les standards d’audit et sera remis aux superviseurs dans les 90 jours suivant la date anniversaire du Cease and Desist Order.

Dans les 60 jours suivant l’approbation par le Conseil des Gouverneurs du programme de conformité aux règles de l’OFAC, le groupe RBS et RBS devront réaliser une évaluation du risque de non-conformité OFAC portant notamment sur les transactions impliquant des entités du groupe RBS. Le Conseil des Gouverneurs pourra, à sa discrétion, accorder un délai supplémentaire pour le groupe RBS afin de respecter les termes du Cease and Desist Order. Le Cease and Desist Order du 26 juillet 2011 demeure en vigueur et n’est pas remplacé par celui du 11 décembre 2013.

En outre, RBS est lié par les accords conclus avec le DFS et l’OFAC. Ainsi, l’accord avec l’OFAC n’empêche pas celui-ci d’intenter une nouvelle action contre RBS pour d’éventuelles violations non visées dans l’accord ou bien des violations commises postérieurement à la date de l’accord. RBS renonce à toute contestation à l’encontre de l’ OFAC [19] au titre des investigations qui ont été menées pour les violations apparentes ayant conduit à la conclusion de l’accord de règlement.

Un risque sérieux

Cette transaction globale, conclue avec un établissement européen, confirme que la violation de la législation américaine en matière de sanctions, constitue bien un risque sérieux. Le contrôle des flux libellés en dollars doit être un élément primordial dans le dispositif de surveillance des flux, dans la mesure où chaque opération se déboucle in fine via un correspondant aux États-Unis. Le droit américain des sanctions et le contrôle de l’OFAC deviennent un élément essentiel à prendre en compte [20] , et cela doit inciter un établissement financier à la plus grande prudence [21] , surtout si celui-ci est implanté, directement ou indirectement, sur le territoire américain.

En Europe aussi…

Pour conclure, il convient de rappeler que les sanctions américaines, en dépit de leur propension à s’appliquer à des personnes non américaines, ne sont pas les principales obligations incombant aux établissements financiers. Les mesures restrictives prévues par les règlements européens sont tout aussi contraignantes et s’appliquent à l’ensemble des opérateurs économiques exerçant une activité, en totalité ou en partie, au sein de l’Union européenne [22] . Les personnes assujetties doivent être en mesure de les respecter avec la même diligence que celle déployée pour se conformer à la réglementation de l’OFAC.

1 Settlement Agreement entre l’OFAC et RBS plc, Consent Order under New York Banking Law §44 entre la succursale new-yorkaise de RBS plc et le Département des services financiers de l’État de New-York, Order to Cease and Desist Issued Upon Consent Pursuant to the Federal Deposit Insurance Act, as Amended et Order of Assessment of a Civil Money Penalty Issued Upon Consent Pursuant to the Federal Deposit Insurance Act, as Amended du Board of the Governors of the Federal Reserve System, 11 décembre 2013. 2 Le Conseil des Gouverneurs de la Réserve fédérale est une agence fédérale américaine. Le Conseil a entre autres la charge de superviser et de réguler les institutions bancaires (http://www.federalreserve.gov). L’OFAC est l’agence du Département du Trésor américain en charge de l’administration et de la mise en œuvre des programmes de sanctions économiques et commerciales des États-Unis (http://www.treasury.gov/about/organizational-structure/offices/Pages/Office-of-Foreign-Assets-Control.aspx). Le Département des Services financiers de l’État de New York (DFS) a été créé en octobre 2011. Cette autorité est chargée de veiller à l’application du droit bancaire et des assurances de l’État de New York. Elle a le pouvoir d'édicter des règlements, d'enquêter et de sanctionner les sociétés de services financiers implantées dans cet État (http://www.dfs.ny.gov). 3 Communiqué de l’OFAC du 11 décembre 2013, p. 1, disponible à : http://www.treasury.gov/resource-center/sanctions/CivPen/Documents/12112013.pdf. 4 Équivalent à une mise en demeure. 5 L’accord de règlement entre l’OFAC et RBS précise, p. 6 : « It is understood that the United Kingdom's Financial Conduct Authority ("FCA"), as RBS' home country supervisor for conduct issues, is assisting the Board of Governors in the supervision of its Order in keeping with the FCA's functions under the United Kingdom's Financial Services and Markets Act 2000. » Voir également le site de la FCA: http://www.fca.org.uk. 6 Consent Order, op. cit., p. 1. 7 « Le Code d'identification de l'entreprise (BIC) a été adopté par l'Organisation internationale de normalisation (ISO). L'ISO a confié à SWIFT le rôle d'autorité d'enregistrement pour l'attribution des BIC (ISO 9362) et pour la publication des BIC dans le répertoire BIC. » Source : www.swift.com. 8 Settlement agreement, op. cit., §8, p. 3. Autre exemple : entre 2004 et 2007, RBS a utilisé le champ n° 59 des messages SWIFT (champ du bénéficiaire) pour indiquer le pays et le champ n° 72 (information de banque à banque) pour donner des instructions de routage supplémentaires. Par ce système, le nom des banques (en l’espèce soudanaises) impliquées dans la transaction ne figurait pas dans le message MT202 COV (message SWIFT de paiement de couverture) envoyé à une banque américaine. 9 Par exemple, la Libye. Settlement agreement, op. cit., p. 3. 10 « Whereas, senior RBS employees, including RBS’s Group Head of Anti-Money Laundering, as well as the Head of Operational Risk, Global Transaction Services, and the Head of Global Banking Services for Europe, Middle East and Africa, were fully aware of and in some instances even provided such instructions to employees. », Consent Order, op. cit., p. 3. 11 P. L. § 195.05 « Obstructing governmental administration in the second degree », § 175.10 « Falsifying business records in the first degree » et § 175.35 « Offering a false instrument for filing in the first degree ». Consent Order, op. cit., p. 3. 12 3. N.Y.C.R.R. § 300 : « Reporting of Crimes Against Banking Institutions, Mysterious Disappearances and Misconduct ». 13 Order to Cease and Desist, op. cit., p. 2. 14 Il s’agit de l’International Emergency Economic Powers Act de 1977 et du Trading with the Enemy Act de 1917, codifiés dans le United States Code. Les programmes de sanctions détaillés sont codifiés dans le Code des règlements fédéraux américain (Code of Federal Regulations – CFR). 15 Communiqué de l’OFAC, op. cit., p. 1. 16 La pénalité de base est calculée conformément aux lignes directrices de l’OFAC (« Economic Sanctions Enforcement Guidelines »). Ce document public détaille la méthodologie utilisée par l’OFAC pour déterminer le montant des pénalités pour des violations apparentes à la réglementation américaine en matière de sanctions économiques. Il est disponible à l’adresse : http://www.treasury.gov/resource-center/sanctions/Documents/fr74_57593.pdf. 17 Consent Order, op. cit., p. 4. 18 Order to Cease and Desist, op. cit., pp. 4-6. 19 Également à l’encontre du Département du Trésor américain et de ses représentants ou employés. 20 C. Ceballos, J. Le Marrec et V. Soulignac, « Les sanctions économiques américaines », Banque et Droit n° 146, nov.-déc. 2012. 21 Ceci conduit à s’interroger sur certaines situations, comme par exemple l'offre de sous-traitance des opérations SWIFT proposée par des banques de grande taille à des établissements de moindre importance. Il peut exister un risque dans la mesure où les opérations sont de la responsabilité de l'établissement émetteur, mais circulent sous le code BIC de la banque hébergeuse, qui peut ainsi éventuellement attirer l’attention de l'OFAC. 22 Voir à ce sujet Philippe Baumard (dir.), Les Sanctions financières internationales, Revue Banque Édition, mars 2012, 238 pages.