Contexte. Les travaux de mise à jour de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR (« Arrêté de 2014 ») ont été initiés suite à l’adoption d’un cadre spécifique relatif aux obligations de contrôle interne aux fins de lutte contre le blanchiment de capitaux et le financement du terrorisme (« Arrêté trans-sectoriel LCB-FT »). La publication d’un arrêté trans-sectoriel LCB-FT imposait en effet de remplacer les dispositions idoines jusqu’alors prévues dans l’Arrêté de 2014. Mais, outre les adaptations rédactionnelles rendues nécessaires, l’Arrêté de 2014 a également été modifié à deux autres reprises ces derniers mois, pour tenir compte de l’évolution de l’environnement législatif tant au niveau international et européen qu’au niveau français. Les dernières modifications apportées à l’Arrêté de 2014 résultent de deux arrêtés du 25 février qui ne seront pas traités car les mesures adoptées sont de nature prudentielle[1].
I. L’arrêté de 2014 amputé : la prise d’autonomie la LCB-FT
Objectifs et contenu de l’Arrêté trans-sectoriel LCB-FT du 6 janvier 2021. L’adoption de l’Arrêté trans-sectoriel LCB-FT répond à un double objectif : prendre en compte les modifications législatives issues de la transposition des 4e[2] et 5e[3] directives applicables en la matière, d’une part, et les modifications apportées par le Groupe d’action financière (GAFI) dans ses Recommandations (notamment s’agissant de l’utilisation des nouvelles technologies)[4], d’autre part. En effet, dans le cadre de l’évaluation récente de la France par le GAFI, le contrôle interne est considéré comme un sujet essentiel et le rapport post-mortem de la Commission Européenne à la suite des affaires de blanchiment médiatisées avait identifié des lacunes en la matière pour la LCB-FT. La France veut donc disposer d’un cadre robuste pour être en mesure de jouer un rôle moteur à la table des futures négociations sur le règlement européen dans ce domaine. En termes de contenu, l’Arrêté trans-sectoriel LCB-FT reprend l’intégralité des dispositions relatives à la LCB-FT supprimées de l’Arrêté de 2014 en y apportant les modifications rendues nécessaires par les objectifs poursuivis. Il traite notamment des sujets suivants : définition de l’entreprise-mère, cumul de responsabilité et délégation du responsable de la mise en œuvre du dispositif LCB-FT (rappels du principe de la séparation des fonctions de responsable du dispositif LCB-FT et de celles de responsable du contrôle permanent LCB-FT – « ne pas être juge et partie » – et du principe de la séparation du contrôle permanent et du contrôle périodique même si, pour les petites entités, le cumul est possible), coordination des procédures d’analyse des opérations atypiques ou suspectes et du traitement des alertes destinées à assurer un traitement identique des alertes, conservation des correspondances commerciales, contrôle des chèques, externalisation des prestations, dispositif et procédure en matière de gel des avoirs, autonomie du contrôle permanent et du contrôle périodique en matière LCB-FT et dispositions applicables aux groupes. L’Arrêté trans-sectoriel LCB-FT est applicable au 1er mars 2021, sauf pour les contrats d’externalisation conclus avant cette date, qui devront être mis en conformité avec les dispositions de l’arrêté au plus tard le 16 janvier 2022.
Transsectorialité. L’Arrêté trans-sectoriel LCB-FT est applicable à l’ensemble de la communauté « financière » des personnes assujetties aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme à l’exception des sociétés de gestion de portefeuille[5]. Il concerne ainsi trois grandes catégories d’acteurs :
– les prestataires de services bancaires, les acteurs du paiement (les établissements de paiement et établissements de monnaie électronique) et leurs intermédiaires (intermédiaires en opérations de banque, en financement participatif et les intermédiaires de services de paiement) ;
– les acteurs du monde de l’assurance et de la prévoyance : les entreprises d’assurance, les instituts de prévoyance, les mutuelles, les fonds/mutuelles/institutions de retraite professionnelle supplémentaire, les intermédiaires d’assurance ;
– les acteurs de services financiers : les entreprises d’investissement et aux prestataires de services numériques.
II. L’arrêté de 2014 modifié : mises à jour et modernisations
Objectifs des modifications apportées à l’Arrêté de 2014. Si le champ d’application de l’Arrêté de 2014 est inchangé pour ce qui concerne les entités régulées, son contenu est modernisé.
Les modifications apportées poursuivent en réalité plusieurs finalités.
Il s’agit d’abord de tenir compte des avancées réalisées au niveau européen : assurer la transposition de la directive CRD V (notamment en matière de rémunération des preneurs de risque et d’écart hommes/femmes), de tenir compte de remarques adressées par Commission européenne relatives à la transposition de la directive CRD IV, de renforcer l’alignement du cadre français aux orientations de l’Autorité bancaire européenne (ABE) relatives à l’externalisation, à la gouvernance interne, y compris pour ce qui concerne la commercialisation de nouveaux produits, et d’adapter le cadre réglementaire aux enjeux en matière de gestion du risque informatique.
Mais c’est également l’occasion d’améliorer la structure de l’Arrêté de 2014 (clarification de la notion de contrôle interne), l’articulation de certaines de ses dispositions (explicitation de l’articulation entre les trois niveaux de contrôle, rassemblement de l’ensemble des dispositions relatives au plan d’urgence et de poursuite des activités dans un seul et même article) et de tenir compte de certaines pratiques de Place (introduction de la notion d’« appétit pour le risque »).
Modifications en matière de rémunérations. Les modifications en matière de rémunérations apportées par la CRD V se trouvent désormais pleinement intégrées en droit français. Il s’agit en réalité de dispositions de nature réglementaire qui complètent celles de nature législative déjà adoptées[6]. Les articles concernés sont réorganisés pour clarifier le principe d’application de ces règles et en décrire les exceptions.
Pour les établissements de crédit, sociétés de financement et entreprises d’investissement, il est indiqué que les dispositions des articles L. 511-71 à L. 511-88 du Code monétaire et financier relatives à la rémunération s’appliquent à eux par principe, tant au niveau individuel que consolidé. Ce n’est que si ces entités (ou leurs groupes) respectent certaines conditions (taille de bilan notamment) qu’elles peuvent être exemptées, au niveau individuel ou consolidé, de l’application de certaines dispositions (paiement différé, paiement en instruments et prestations de pensions discrétionnaires).
Pour les sociétés de gestion de portefeuille, entreprise d’assurance et/ou de réassurance, elles sont soumises au niveau individuel aux règles sectorielles ad hoc prévues par le droit de l’UE. Elles ne sont pas non plus soumises au niveau consolidé aux dispositions des articles L. 511-71 à L. 511-88 précités. Toutefois, l’arrêté prévoit un dispositif anticontournement pour assujettir spécifiquement les membres de personnel de ces entités quand elles appartiennent à un groupe et dont l’activité peut avoir une incidence significative sur le profil de risque ou les activités des établissements du groupe.
Les modifications relatives à la rémunération sont applicables depuis le 29 décembre 2020 (date limite de transposition de la directive CRD V), sauf pour celles relatives à la transposition de la directive concernant la surveillance prudentielle des entreprises d’investissement qui sont applicables au 26 février 2021. Les autres dispositions sont applicables au 28 juin 2021.
Modifications en matière de gestion du risque informatique. L’Arrêté de 2014 est également retouché pour mieux intégrer les mesures destinées à la gestion du risque informatique. À l’article 10 de l’Arrêté de 2014 qui regroupe les définitions, sont ainsi insérées plusieurs notions du domaine informatique : incident opérationnel ou de sécurité, actif informatique, système d’information, service informatique, risque informatique et sécurité du système d’information.
Pour le reste, les nouvelles dispositions sont insérées dans un nouveau titre VI bis « Gestion du risque informatique ». Elles tiennent compte des orientations de l’Autorité bancaire européenne (ABE) sur la gestion du risque informatique (EBA/GL/2019/04) publiées le 28 novembre 2019 et entrées en vigueur le 30 juin 2020 et concernent les aspects suivants : la définition de la stratégie informatique et du niveau adéquat des ressources consacrées aux opérations informatiques, à la sécurité des systèmes d’information et à la continuité d’activité, les quatre grands axes de la gestion du risque informatique (identification du risque, évaluation de ce risque, adoption de mesures de réduction et surveillance de leur efficacité), les obligations sur la sécurité du système d’information qui s’imposent aux entreprises assujetties (politique de sécurité, mesures de sécurité, sensibilisation et formation), les obligations relatives aux opérations informatiques et à la gestion des incidents et les obligations en matière de gestion de l’acquisition et du développement des systèmes d’information, ainsi que la gestion des changements. L’ACPR a d’ores et déjà annoncé la publication d’une Notice devant compléter ces dispositions.
Agrégation des données de risques dans les reportings bancaires. On notera par ailleurs qu’au travers de l’article 104 de l’arrêté[7] apparaît la question de la qualité des données en référence aux principes dégagés par le Comité de Bâle sur l’agrégation des données de risques dans les reportings bancaires[8], publiés en janvier 2013 et applicables depuis janvier 2016 aux banques systémiques. La mesure n’est donc pas nouvelle, il s’agit de réaffirmer l’importance de ce sujet et de fournir aux autorités de supervision (BCE et ACPR) une base légale de droit interne efficace pour en assurer le respect.
Modifications en matière d’externalisation. Ensuite, l’arrêté de 2014 intègre de nouvelles règles relatives à l’externalisation afin d’assurer la conformité du droit français aux orientations EBA/GL/2019/02 sur l’externalisation. L’Arrêté de 2014 prévoit donc les dispositions nécessaires pour assurer l’information annuelle de l’ACPR au sujet des externalisations de services ou activités essentielles, obligations issues du § 58 des orientations de l’ABE sur l’externalisation, la définition et la formalisation d’une politique de contrôle des prestataires externes, la tenue d’un registre en matière d’externalisation et l’imposition d’une analyse de risques préalablement à la signature d’un contrat d’externalisation.
Modifications en matière de gouvernance interne. Enfin, de nouvelles règles relatives à la gouvernance interne sont aussi introduites dans l’Arrêté de 2014 afin d’assurer la conformité du droit français aux orientations EBA/GL/2017/11 sur la gouvernance interne, entrées en vigueur le 30 juin 2018. Elles précisent notamment que la fonction de contrôle périodique doit s’organiser sur un plan d’audit fondé sur une approche par les risques, que les nominations à des postes de responsable en matière de contrôle interne doivent se faire sur la base de procédures préexistantes, les dispositions applicables en matière de conflits d’intérêts ainsi que les règles applicables en matière de validation des nouveaux produits et de changements significatifs[9]. Sur ce dernier point, les entreprises assujetties doivent définir des politiques d’approbation des nouveaux produits et des changements significatifs recouvrant (a) les nouveaux produits et services, (b) les changements significatifs, pour cette entreprise ou pour le marché, à un produit, service ou processus existant et leurs systèmes associés, (c) les opérations de croissance interne et externe et (d) les transactions exceptionnelles. Les systèmes et procédures doivent permettre une analyse à la fois en amont et prospective des risques encourus lorsqu’elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs. Les entreprises assujetties doivent également prévoir des procédures spécifiques d’examen de la conformité lorsqu’elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listés ci-dessus. Le responsable de la vérification de la conformité, ou une personne dûment habilitée par ce dernier, donne un avis écrit et systématique préalablement à l’exécution de ces opérations.
Quel impact pour les établissements ? On peut anticiper que ces nouvelles dispositions ne devraient pas opérer un bouleversement majeur dans l’organisation du contrôle interne des entreprises assujetties. Néanmoins, elles concernent des sujets divers qui méritent d’être correctement appréhendés et, en ce qu’elles sont toujours guidées par la volonté d’apporter plus de clarté et de précisions, elles devraient sans doute conduire à hausser le niveau d’exigence du superviseur. Pour ce qui concerne plus spécifiquement l’Arrêté trans-sectoriel LCB-FT, son application à la quasi-totalité des acteurs du monde financier ne peut qu’être accueillie favorablement par les établissements qui relevaient jusqu’ici de l’Arrêté de 2014 ; en effet, en structurant le contrôle interne et les diligences devant être effectués par des personnes jusqu’ici non visées mais pouvant intervenir dans la relation client des personnes historiquement visées, l’Arrêté trans-sectoriel LCB-FT participe à faciliter l’accomplissement de la conformité des « assujettis historiques » en matière de LCB-FT.
Enfin, d’autres modifications sont déjà prévues, notamment dans le domaine de la gestion du risque informatique, du fait l’adoption prochaine du règlement européen « Digital Operational Resilience Act – DORA »[10] dont l’objectif est de renforcer la résilience opérationnelle numérique dans le secteur financier en imposant notamment une classification et une notification aux autorités compétentes des incidents informatiques.
Contrôle interne – Rémunération – Gouvernance interne – Lutte contre le blanchiment de capitaux et le financement du terrorisme – Gel des avoirs – Risque informatique – Nouveaux produits – Externalisation.
[1] . Arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif à la surveillance prudentielle sur base consolidée et l’arrêté du 3 novembre 2014 relatif au processus de surveillance prudentielle et d’évaluation des risques des prestataires de services bancaires et des entreprises d’investissement autres que les sociétés de gestion de portefeuille, JORF n° 0056 du 6 mars 2021, texte n° 14.
Arrêté du 25 février 2021 relatif aux restrictions aux distributions applicables aux établissements de crédit, aux sociétés de financement et à certaines entreprises d’investissement et modifiant l’arrêté du 3 novembre 2014 relatif aux coussins de fonds propres des prestataires de services bancaires et des entreprises d’investissement autres que des sociétés de gestion de portefeuille, JORF n° 0056 du 6 mars 2021, texte n° 15.
[2] . Dir. (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission.
[3] . Dir. (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE.
[4] . Les Recommandations du GAFI (FATF Recommandations) ont été adoptées le 16 février 2012 et ont été mises à jour à plusieurs reprises depuis. Une liste des mises à jour et amendements réalisés sur ces Recommandations est disponible (uniquement en anglais) sur le site Internet du GAFI.
[5] . « Organismes assujettis » : les organismes mentionnés aux 1° à 1° ter, 2° à 4°, 6° et 7° bis de l’article L. 561-2 du Code monétaire et financier, à l’exception des organismes mentionnés au 2° du I de l’article L. 561-36.
[6] . Cf. in Banque et Droit, janvier 2021, chronique Conformité.
[7] . « Les établissements importants définissent des politiques, le cas échéant à l’échelle du groupe régissant la gestion, la qualité et l’agrégation des données sur les risques ».
[8] . BCBS 239.
[9] . Sujet abordé par les lignes directrices de l’EBA 2015/18 sur les modalités de gouvernance et de surveillance des produits bancaires de détail, § 4.1.
[10] . COM(2020) 595 final.
