Les griefs portaient sur les sujets suivants :
Selon le grief 1, la classification des risques de l’OPT-NC était, au moment du contrôle, lacunaire sur plusieurs points :
– en premier lieu, elle prenait en compte de manière insuffisante les risques liés aux produits et services offerts. Ainsi, elle ne mentionnait pas les paiements par carte Visa, dont le volume a pourtant été multiplié par 2,5 entre 2014 et 2018. De plus, le risque lié aux dépôts de chèques au nom de tiers n’était pas répertorié ;
– en deuxième lieu, le risque géographique n’était traité que sous l’angle des virements vers l’étranger et certains pays, dont la Nouvelle-Zélande et l’Australie, n’étaient pas mentionnés, alors même que l’OPT-NC connaissait leur exposition au risque terroriste ;
– en troisième lieu, les risques liés aux caractéristiques de la clientèle étaient insuffisamment pris en compte. Ainsi, la vente de kava, plante traditionnelle océanienne, dont la matière première provient du Vanuatu, pays considéré par l’OPT-NC comme présentant un risque de BC-FT, n’y était pas mentionnée, alors que les comptes de plusieurs personnes ayant une activité de vente de kava étaient ouverts dans ses livres.
Selon le grief 2, l’organisation du dispositif de surveillance des opérations était à plusieurs égards défaillante au moment de la vérification.
En premier lieu, le responsable de la LBC-FT, qui était placé sous l’autorité hiérarchique du directeur des services bancaires et qui rapportait au directeur général délégué en charge de la performance économique, lui-même rattaché au directeur général, n’avait pas un positionnement hiérarchique suffisamment élevé pour lui permettre de veiller efficacement à la mise en œuvre des obligations de vigilance, notamment dans le réseau d’agences, où elles sont mises en œuvre par les guichetiers et conseillers, qui sont placés sous l’autorité du directeur du réseau des ventes, dont le niveau hiérarchique est de surcroît plus élevé que celui du responsable de la LBC-FT.
En second lieu, les moyens matériels alloués au dispositif de surveillance des opérations étaient insuffisants :
– tout d’abord, ce dispositif était obsolète. Les requêtes paramétrées dans le SI n’étaient pas adaptées aux risques auxquels est exposé l’OPT-NC et ne permettaient donc pas de surveiller de manière appropriée les opérations des clients ;
– ce dispositif était par ailleurs inadapté, les scénarios utilisés ne couvrant pas la totalité des opérations, les paiements par carte, notamment, en étant exclus. En outre, les scénarios utilisés n’étaient pas toujours pertinents.
Selon le grief 3, au moment de la vérification, l’OPT-NC n’identifiait pas les bénéficiaires effectifs de ses clients et, en conséquence, ne vérifiait pas leur identité.
Selon le grief 4, au moment du contrôle, l’OPT-NC recueillait les mêmes éléments de connaissance de ses clients, quelle que fût la catégorie à laquelle ils appartenaient. Ces éléments n’étaient notamment pas adaptés à la catégorie des personnes politiquement exposées (PPE), que l’établissement classait pourtant comme présentant un risque élevé de blanchiment des capitaux ou de financement du terrorisme (BC-FT).
Par ailleurs, l’obligation de recueillir les éléments d’information nécessaires à la connaissance de la relation d’affaires était mise en œuvre de façon partielle :
Selon le grief 5, au moment de la vérification, l’OPT-NC ne respectait pas totalement son obligation de vigilance constante.
En premier lieu, les signalements transmis au service du contrôle interne et des risques (CIR) par le centre financier de Nouméa (CFN) ou les agences n’étaient pas systématiquement analysées.
En deuxième lieu, l’OPT-NC ne s’assurait pas systématiquement de la cohérence des opérations de retrait et de versement d’espèces, qui présentent pourtant un risque élevé de BC-FT.
En troisième lieu, l’établissement ne tenait pas compte des réquisitions judiciaires reçues pour adapter ses mesures de vigilance à l’égard de sa clientèle.
Selon le grief 6, au moment de la vérification, la liste utilisée pour détecter les PPE, qui ne comportait que les députés et sénateurs de Nouvelle-Calédonie ainsi que des personnes exerçant des fonctions locales, ne permettait pas de détecter toutes les PPE. En outre, elle n’était pas mise à la disposition des agents en charge de l’ouverture des comptes des clients personnes physiques, ce qui ne permettait pas de détecter les PPE au moment de l’entrée en relation d’affaires.
La qualité éventuelle de PPE des bénéficiaires effectifs de ses clients personnes morales n’était pas non plus vérifiée.
Selon le grief 7, au moment de la vérification, les contrôles, effectués sur la base d’une note de procédure datée de 2012, étaient défectueux.
En premier lieu, ce dispositif ne permettait pas de veiller au respect de l’ensemble des obligations en matière de LBC-FT et de gel des avoirs. Les contrôles ne portaient que sur trois types d’opérations : retraits et versements, mandats et ouvertures des comptes CCP ; ils ne couvraient donc qu’une partie des activités de l’établissement et ils excluaient le gel des avoirs. De plus, l’audit interne avait constaté que les contrôles sur les ouvertures de CCP n’étaient plus réalisés et relevé, en juillet 2019, que les contrôles n’étaient que partiellement réalisés et étaient entachés de non-conformités.
En deuxième lieu, le dispositif de contrôle était inadapté à la taille de l’établissement ainsi qu’au volume de ses activités et aux risques que celles-ci présentent, selon l’analyse de Tracfin dans son étude « Tendances et analyse des risques de BC-FT en 2017-2018 », confirmée par l’analyse sectorielle des risques de l’ACPR publiée le 2 décembre 2019. En effet, les contrôles dits de « second niveau », effectués par les correspondants du contrôle interne, « annuellement pour les services du CFN ou tous les deux ans dans les agences » ou par le service CIR, étaient réalisés par des personnes chargées de fonctions opérationnelles, notamment par les chefs d’agence, ainsi placés en situation d’autocontrôle.
En troisième lieu, ce dispositif était inefficace puisque, malgré le constat de ses défaillances par l’audit interne, seules quatre de ses cinq recommandations en 2017, quatre de ses 27 recommandations en 2018 et quatre de ses 20 recommandations en 2019 avaient été mises en œuvre au moment de la vérification.
Selon le grief 8, le dispositif de détection des personnes soumises à une mesure de gel des avoirs n’était pas exhaustif, aucun filtrage des mandataires et des bénéficiaires effectifs n’étant réalisé. n
LUTTE CONTRE LE BLANCHIMENT ET CONTRE LE FINANCEMENT DU TERRORISME.
