Les griefs reprochés ont été les suivants :
I. La classification des risques
Selon le grief 1, au moment du contrôle sur place, la classification des risques d’AECF était incomplète et inefficace, faute de tenir compte de l’ensemble des risques inhérents (i) aux produits ou services offerts, (ii) aux caractéristiques de la clientèle et (iii) aux facteurs géographiques.
En premier lieu, AECF permettait à ses clients de rembourser le solde débiteur de leurs dépenses par prélèvement sur un compte ouvert au nom du client chez un prestataire de services de paiement mais aussi par un virement en provenance de France ou de l’étranger ainsi que par d’autres moyens, dont des cartes de paiement dont le titulaire n’était pas toujours identifié. De telles opérations présentent un risque de blanchiment des capitaux et de financement du terrorisme (« BC-FT »), dont le niveau varie selon le pays d’où proviennent les fonds et selon qu’ils proviennent d’un compte ouvert au nom du client ou d’un tiers, hypothèses que la classification des risques ne distinguait pas.
En deuxième lieu, pour sa clientèle « business et pro», soit plus de 30 000 clients en 2018, AECF ne tenait pas suffisamment compte des risques liés à la « structure des clients, personnes morales» et à leur secteur d’activité. Ainsi, AECF attribuait le même niveau de risque – modéré – aux associations qu’elles soient ou non déclarées et n’analysait pas comme présentant un risque élevé les secteurs pharmaceutique, du bâtiment et des travaux publics (ci-après « BTP ») et de la logistique (fret), malgré les analyses publiées par le Gafi et par Tracfin sur ces sujets.
En troisième lieu, AECF estimait que la Tunisie présentait un risque faible de BC-FT, alors que la Commission européenne l’avait identifiée comme un pays tiers à haut risque. Il en est résulté une absence de mesures particulières à l’égard des clients qui sont des ressortissants de ce pays.
II. L’établissement d’un profil de risque de la relation d’affaires
Selon le grief 2, au moment du contrôle sur place, AECF n’établissait pas de façon suffisamment discriminante, sauf pour les personnes politiquement exposées (ci-après les « PPE »), un profil des relations d’affaires permettant une vigilance accrue pour celles qui présentaient des risques plus élevés.
III. Le dispositif de surveillance
Selon le grief 3, le dispositif de suivi et d’analyse des relations d’affaires et des opérations d’AECF était, au moment du contrôle sur place, incomplet et inadapté à son activité.
ce dispositif était notamment concentré sur les opérations en espèces alors que celles-ci ne représentaient que 1 % des opérations traitées en 2018. Par ailleurs, l’inefficacité de ce dispositif au moment du contrôle était confirmée par le fait que treize des vingt règles de surveillance mises en place au niveau du groupe n’ont entraîné le déclenchement d’aucune alerte entre 2016 et 2018.
IV. Le dispositif de contrôle interne
a. L’externalisation des mesures de contrôle interne
Selon le grief 4, plusieurs aspects du contrôle interne d’AECF étaient, au moment du contrôle sur place, externalisés auprès d’autres entités du groupe dans des conditions critiquables. Ainsi, en matière de lutte contre le financement du terrorisme, le contrôle de deuxième niveau des alertes était assuré par [A1], entité du groupe située au Royaume-Uni, sans qu’un contrat ait été conclu à cette fin. De même, c’est l’entité indienne du groupe, [A2], qui, au moment de la mission de contrôle, était en charge du contrôle permanent de la surveillance des opérations, sans que l’accord-cadre conclu par AECF avec celle-ci précise les conditions et modalités d’un tel contrôle.
Par ailleurs, le contrôle périodique d’AECF était réalisé par l’Audit interne du groupe (« Internal Audit Group», ci-après « IAG »), sans que cela ait donné lieu à un contrat d’externalisation en précisant les conditions d’exercice.
b. Le contrôle permanent
Selon le grief 5, au moment du contrôle sur place, les services de contrôle permanent d’AECF ne vérifiaient pas la mise en œuvre de certaines interdictions édictées par son service Conformité. Ainsi, bien que s’étant interdit d’entrer en relation d’affaires avec des clients dont le compte support était tenu par certains établissements qu’elle qualifiait d’« alternatifs», AECF avait noué des relations d’affaires avec des clients ayant, au début ou en cours de la relation d’affaires, disposé d’un tel compte.
V. L’obligation d’identification et de vérification de l’identité des clients
Selon le grief 7, si AECF vérifiait l’identité de ses clients personnes physiques par la collecte d’un document d’identité en cours de validité, 5 % des dossiers de clients entrés en relation d’affaires entre 2013 et 2018 examinés par la mission de contrôle, soit six sur 130, ne comportaient pas de copie d’un tel document ou seulement une copie illisible.
Par ailleurs, si la vérification de l’identité des clients personnes morales était en principe effectuée par la collecte d’un extrait Kbis de moins de trois mois, ce document manquait dans un des 23 dossiers examinés par la mission de contrôle.
VI. La connaissance de la clientèle en relation d’affaires
Selon le grief 8, (i) sur les 130 dossiers de clients entrés en relation d’affaires entre 2013 et 2018 examinés par la mission de contrôle, onze (dossiers 8.1 à 8.11) ne contenaient pas d’informations sur l’activité professionnelle du client et 46 contenaient des informations vagues, telles que « commerce», « administration», « finance» ou « prestataire de services», tandis que (ii) les informations sur les revenus des clients manquaient dans quatre dossiers
Par ailleurs, (iii) les éléments relatifs à la connaissance des clients en relation d’affaires étaient recueillis sur une base uniquement déclarative, y compris pour les clients présentant un risque élevé.
Selon le grief 10, AECF estimait que la Tunisie présentait un risque faible (« low risk») de BC-FT, mais un risque de corruption élevé, alors que ce pays avait été classé par le règlement délégué (UE) 2018/212 de la Commission européenne du 13 décembre 2017 comme un pays tiers à haut risque au sens de l’article 9 de la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (ci-après un pays à « haut risque »). En conséquence, AECF n’a pas mis en œuvre les mesures de vigilance complémentaires requises.
Selon le grief 11, en premier lieu, AECF utilisait, au moment du contrôle, pour détecter les PPE dans ses bases de clients particuliers et de clients « PME et corporate», un taux de concordance de 99 %. De plus, des clients pouvaient être placés sur une liste de « faux positifs » par erreur, après clôture erronée d’une alerte, ce qui empêchait la détection ultérieure de leur qualité de PPE. Ces deux carences ont entraîné un défaut de détection de neuf PPE
En deuxième lieu, au moment du contrôle, AECF ne disposait pas d’informations sur les revenus et le patrimoine de treize PPE en relation d’affaires.
En outre, certaines PPE étant classées en risque faible, AECF n’était pas en mesure de renforcer les mesures de vigilance constante à leur égard.
VII. L’obligation de procéder aux déclarations de soupçons
Selon le grief 12, AECF n’a pas respecté ses obligations de déclaration à Tracfin dans 68 dossiers. n
Lutte contre le blanchiment et contre le financement du terrorisme – Prestations externalisées.
