Les griefs portaient sur les thèmes suivants :
I. Sur le dispositif de lutte contre le blanchiment et le financement du terrorisme de REB
Selon le grief 1, au moment du contrôle sur place, la procédure en vigueur au sein de REB était incomplète, en particulier parce qu’elle ne précisait pas les situations dans lesquelles un examen renforcé devait être réalisé compte tenu des risques de BC-FT auxquels l’établissement était exposé, ni les diligences à accomplir dans ce cas.
En outre, si la version de cette procédure, en date du 10 décembre 2019, qui précisait les cas d’application de la vigilance renforcée, mentionnait la nécessité de procéder à un examen renforcé de certaines opérations, elle ne faisait pas état de la nécessité de recueillir, dans de tels cas, des justificatifs des opérations.
Selon le grief 2, 29 salariés de Rakuten France n’avaient pas reçu de formation en matière de LCB-FT entre juin 2016 et juin 2019. De plus, les formations dispensées aux autres salariés ne présentaient pas les risques propres à la monnaie électronique.
Selon le grief 3, au moment du contrôle sur place, REB mettait en œuvre à l’égard de « la plupart de ses clients personnes physiques » des mesures de vigilance simplifiées ; elle ne vérifiait pas leur identité et ne recueillait pas d’informations sur l’objet et la nature de la relation d’affaires, alors que ni les conditions du 2° de l’article L. 561-9, qui précise les cas dans lesquels les organismes assujettis peuvent mettre en place des mesures de vigilance simplifiées, ni celles de l’article R. 561-16-1, qui prévoit les cas d’exonération des obligations de vigilance pour les émetteurs de monnaie électronique, n’étaient remplies.
Selon la poursuite, REB n’a ni vérifié l’identité ni recueilli d’éléments relatifs à l’objet et à la nature de la relation d’affaires pour au moins 91 504 de ses 148 504 clients personnes physiques ayant procédé au moins à une vente en 2019 ; elle se bornait à connaître leur identité, alors qu’elle ne pouvait se prévaloir, à leur sujet, ni des dispositions de l’article L. 561-9 du CMF, ni de celles de son article R. 561-16-1.
Selon le grief 4, REB a commis plusieurs manquements à ses obligations de vigilance à l’égard de sa clientèle de personnes morales :
– en premier lieu, 30 clients personnes morales ont été classés parmi la clientèle de personnes physiques. En conséquence, REB n’a pas vérifié leur identité ni recueilli d’éléments de connaissance à leur sujet ;
– en deuxième lieu, dans un dossier (association C), les bénéficiaires effectifs du client n’ont pas été identifiés ;
– en troisième lieu, au moment du contrôle, dans 75 % des dossiers de clients professionnels considérés comme ne présentant pas un risque élevé justifiant des mesures de vigilance renforcée, REB ne recueillait pas d’information sur la connaissance du client, notamment sur sa situation financière.
Selon le grief 5, le dispositif mis en place par REB pour détecter les personnes politiquement exposées (PPE) était, au moment du contrôle, défaillant. En premier lieu, cette détection n’intervenait, dans 90 % des dossiers, qu’après l’entrée en relation d’affaires, lors d’un filtrage hebdomadaire. De plus, le filtrage de la base clients était manuel, ce qui est une source de défaillances opérationnelles. La base de données clients n’a fait l’objet d’aucun filtrage du 2 au 20 juillet 2018, du 14 décembre 2018 au 14 janvier 2019 et du 2 au 28 février 2019, le fichier n’ayant pas été chargé dans l’outil de REB. De plus, bien que ce fichier ait été chargé, la base n’a pas été correctement filtrée de septembre 2017 à juillet 2019, du fait d’une défaillance du prestataire externe auquel recourait REB. En conséquence, REB n’a pas détecté un client PPE.
En second lieu, six dossiers de clients PPE examinés par la mission de contrôle ne contenaient pas d’informations sur l’origine du patrimoine et des fonds impliqués dans la relation d’affaires.
Selon le grief 6, au moment du contrôle sur place, l’outil utilisé par REB ne déclenchait des alertes qu’après exécution des opérations sur le site de Rakuten France.
Par ailleurs, les délais de traitement de certaines alertes étaient excessifs : ainsi, sur les 8 111 alertes déclenchées entre le 3 septembre 2018 et le 19 juin 2019, 12 % ont été traitées plus de 6 mois après avoir été déclenchées, dont 490 six à sept mois après, 370 sept à huit mois après et 125 huit à neuf mois après. En outre, toutes les alertes ne faisaient pas l’objet d’une analyse suffisamment détaillée avant clôture : ainsi, pour 58 % des 8 111 alertes ci-dessus mentionnées, l’alerte n’a été suivie d’aucun commentaire et, dans près de 30 % des cas, le commentaire effectué a été succinct.
Selon le grief 8, REB a, dans 20 dossiers, manqué à ses obligations déclaratives.
II. Sur Le dispositif de gel des avoirs
Selon le grief 9, le filtrage effectué par REB au regard des listes de personnes visées par une mesure de gel des avoirs excluait ceux de ses clients qui faisaient l’objet de mesures de vigilance simplifiées, soit 97 % des clients particuliers, ce qui ne lui permettait pas d’appliquer sans délai les mesures de gel et de mise à disposition ou d’utilisation de fonds au bénéfice de personnes dont les avoirs étaient gelés. Par ailleurs, les modalités de réalisation des filtrages, lorsqu’ils étaient effectués, ne permettaient pas de mettre en œuvre sans délai les mesures de gel à l’égard de la clientèle : d’une part, 10 % seulement des nouveaux clients faisaient l’objet d’un filtrage à l’entrée en relation d’affaires, le filtrage de 90 % des clients étant effectué selon une périodicité hebdomadaire. D’autre part, les filtrages effectués nécessitaient une intervention manuelle, ce qui entraînait des défaillances opérationnelles. Ainsi, la base de données clients n’a pas fait l’objet d’un filtrage du 2 au 20 juillet 2018, du 14 décembre 2018 au 14 janvier 2019 et du 2 au 28 février 2019, le fichier n’ayant pas été chargé dans l’outil de filtrage. De plus, à la suite d’une défaillance du prestataire externe auquel recourait REB, les trois quarts des données concernant les clients ou représentants légaux des sociétés n’ont pas été filtrés entre les mois de septembre 2017 et juillet 2019. En conséquence, l’un des clients de REB, dont les éléments d’identification correspondaient à ceux d’une personne faisant l’objet d’une mesure nationale de gel, n’a pas été détecté. n
Lutte contre le blanchiment et contre le financement du terrorisme.
