Sanction prononcée le 23 décembre 2020, publiée en février 2021 contre BD MULTIMEDIA : Blâme et sanction pécuniaire de 20 000 euros
La société BD MULTIMEDIA France a été sanctionnée pour des non-conformités relatives à la LCB FT ainsi qu’au dispositif de contrôle interne et de suivi des risques. Elle a formé un recours contre cette décision. Les griefs prononcés ont concerné les thèmes suivants :
Procédures internes en matière de LCB FT
Selon le grief 1, la procédure de l’établissement était, au moment du contrôle, insuffisante car elle ne définissait pas, pour l’activité Payment.net, les diligences à accomplir au moment de l’entrée en relation d’affaires en matière d’identification et de vérification de l’identité du client et, le cas échéant, de son bénéficiaire effectif, ni les éléments nécessaires à la connaissance adéquate de la relation d’affaires, alors que cette activité représente des volumes d’encaissement significatifs et que la clientèle de BDM présente des risques en matière de BC-FT.
Sur la seconde branche du grief, (procédures spécifiques au service Starpass), la poursuite n’apporte pas d’élément de nature à établir le caractère indispensable, dans une approche par les risques, d’un recueil systématique par BDM, qui n’est pas un établissement de crédit, d’informations sur les revenus et le patrimoine de ses clients, les micro-paiements concernés par ce service s’élevant à 2,36 euros en moyenne pour les paiements par numéro surtaxé et à 9,70 euros pour les paiements par carte.
Le grief 1 n’est donc fondé qu’en sa première branche.
Selon le grief 2, les procédures de BDM ne définissaient pas, pour son produit Starpass, les diligences à accomplir dans le cadre de l’examen renforcé prévu à l’article L. 561-10-2 du CMF.
Selon le grief 3, BDM est l’entreprise mère d’un groupe comprenant notamment BD HK, filiale détenue à 80 % établie à Hong-Kong, où elle a développé l’offre Payment.net. Or, le rapport relève qu’au moment du contrôle, l’établissement n’avait défini aucune procédure relative aux échanges d’informations à des fins de LCB-FT entre ces deux sociétés, alors même que la seconde exerce son activité dans des domaines qui présentent des risques de BC-FT particulièrement élevés, tels que les services liés aux crypto-actifs.
Les obligations de vigilance
Selon le grief 4, BDM propose, dans le cadre de l’offre Starpass, l’ouverture de comptes dits Starter sans vérifier l’identité du client ni, le cas échéant, de son bénéficiaire effectif lors de l’entrée en relation d’affaires. En effet, il résulte du rapport de contrôle que les données d’identification recueillies lors de la phase dite de « pré-enregistrement » ne font l’objet, lors de l’ouverture du compte, d’aucune mesure de vérification.
L’établissement a ainsi ouvert, entre le 1er janvier 2016 et décembre 2018, 38 071 comptes Starter totalisant 1,261 million d’euros d’encaissement, sans vérifier l’identité du client ni, le cas échéant, de son bénéficiaire effectif. En vertu de l’article L. 561-6 du CMF, dont les dispositions ont été reprises en substance à l’article L. 561-5-1 de ce code à compter du 3 décembre 2016, telles que précisées par l’article R. 561-12 du même code, les établissements de paiement sont tenus de recueillir les informations relatives à l’objet et à la nature d’une relation d’affaires ainsi que tout élément d’information pertinent.
Selon le grief 5, au moment de l’ouverture d’un compte Starter, BDM ne recueille pas l’ensemble des informations nécessaires à la connaissance de la relation d’affaires, telles que la profession des clients personnes physiques ou, pour les clients personnes morales, une estimation des volumes d’encaissement, les revenus, le patrimoine ou tout autre élément permettant d’apprécier leur situation financière.
En revanche, pour les clients personnes morales des comptes Starter et Starpass, le recueil de l’extrait K-bis ne permet pas de disposer d’informations suffisantes sur le fonctionnement d’une société et la société aurait dû recueillir les statuts, en vertu de l’arrêté du 2 septembre 2009.
Enfin, pour les comptes Payment.net, BDM aurait dû, en raison des caractéristiques de ce produit, recueillir des informations sur la situation financière des clients, afin d’être en mesure d’apprécier la justification économique des opérations qu’ils effectuent.
Selon le grief 6, les comptes Starpass, « qu’il s’agisse des comptes Starter ou des comptes ayant le statut de “comptes de paiement” », sont ouverts par BDM à distance, via son site internet. Or, BDM n’applique pas systématiquement à l’ouverture de ces comptes deux des mesures de vigilance prévues à l’article R. 561-20 du CMF alors qu’elle ne recourt à aucun des moyens d’identification.
Dispositif de suivi de la relation d’affaires
Selon le grief 7, le service Payment.net a été lancé en 2017, postérieurement à l’agrément de BDM. L’établissement admet ne pas avoir mis en place de dispositif de surveillance automatisée pour ce nouveau service mais soutient qu’une surveillance manuelle des opérations des 45 clients qui utilisaient alors ce service existait au moment du contrôle. Toutefois, les éléments produits en défense sur la surveillance des opérations d’un client ou sur les diligences effectuées pour les clients U et V, dont les activités sont liées aux crypto actifs, ne peuvent suffire à établir le caractère général d’une telle surveillance ni son application à toutes les opérations de ces clients. Il en va de même de la diligence, prévue par la procédure interne « Contrôle des virements émis », qui consiste seulement à vérifier que le compte renseigné dans la fiche du client est bien le compte de reversement des fonds et ne peut donc s’analyser comme permettant à BDM de respecter les obligations de surveillance en matière de LCB-FT prévues par les dispositions sur lesquelles est fondé le grief.
Dispositif de gel des avoirs
Selon le grief 8, le dispositif de gel des avoirs mis en place par BDM repose sur la consultation de la liste des personnes et entités faisant l’objet d’une mesure européenne ou nationale de gel publiée sur le site de la direction générale du Trésor (la « liste Unique »). Ce dispositif présente d’importantes lacunes :
– la consultation de cette liste n’est effectuée qu’au moment de l’ouverture d’un compte ayant le statut de « compte de paiement » mais aucune vérification n’est faite pendant la relation d’affaires pour s’assurer qu’aucun client ne fait l’objet d’une mesure de gel ;
– aucun filtrage automatisé ni aucune consultation de la « liste Unique » ne sont effectués lors de l’ouverture d’un compte Starter ni pendant la relation d’affaires ;
– aucun filtrage automatisé ni aucune consultation de la « liste Unique » ne sont effectués lors de l’ouverture d’un compte Payment.net ni pendant la relation d’affaires pour détecter les personnes faisant l’objet d’une mesure de gel.
Tout en admettant qu’aucun contrôle portant sur la totalité de ses clients n’était effectué à chaque mise à jour de la liste unique, BDM souligne qu’aucune personne faisant l’objet d’une mesure restrictive n’a été détectée parmi ses clients.
Le grief 8 doit être regardé comme fondé, dès lors que les informations communiquées lors de l’instruction de la demande d’agrément de BDM sur ce point n’étaient pas précises et que les actions correctives engagées ensuite sont sans incidence.
Défauts de déclaration de soupçon
Selon le grief 9, BDM n’a pas réalisé de DS dans 16 dossiers ou séries de dossiers.
La faiblesse des sommes en jeu, soit moins de 25 000 euros pour la totalité de ces comptes sur une période de deux ans et demi, est sans incidence sur l’obligation d’informer Tracfin de telles opérations, en raison de l’incertitude sur l’origine des fonds et sur la licéité des opérations effectuées.
Contrôle interne et organisation comptable
Ni la matrice des risques ni la procédure de l’établissement n’ont été mises à jour pour intégrer la nouvelle activité Payment.net, la seule mention dans la cartographie des risques ne permettant pas d’établir une adaptation complète des procédures de l’établissement à la suite du démarrage de cette activité, le grief 10 n’est donc fondé que dans ce périmètre réduit.
Le grief 11 (absence de stratégie, politique, système ou gestion prévisionnelle de la liquidité) a été abandonné, les obligations imposées par les articles 148 et 155 de l’arrêté du 3 novembre 2014 n’étant pas applicables aux établissements de paiement.
Suivi des incidents opérationnels
Selon le grief 12, BDM indique, dans son rapport annuel sur le contrôle interne, reconnaître comme significatifs ou majeurs les incidents opérationnels qui dépassent un montant de 2 000 euros. Or la mission de contrôle a constaté que seuls les incidents relatifs à la sécurité des systèmes d’information faisaient l’objet d’un recensement, qui s’apparente à un journal d’événements ou de tâches, sans lien avec le seuil défini.
Les autres incidents opérationnels, même majeurs, ne sont pas documentés et ne donnent pas lieu à mise à jour des risques ni des contrôles. À titre d’illustration, en juin 2018, une erreur de la société S, prestataire télécom de BDM, a occasionné une perte de chiffre d’affaires de 580 000 euros. Cet incident n’a donné lieu ni à une actualisation des risques ni à une adaptation des contrôles. Il n’a de plus fait l’objet d’aucune communication spécifique aux membres du conseil d’administration. En outre, le SGACPR n’en a été informé par BDM que le 30 novembre 2018, après que l’Inspection lui a rappelé l’obligation légale d’une telle information. Le grief porte ainsi sur la limitation des diligences de BDM en ce domaine aux incidents qui concernent la sécurité des systèmes d’information et sur le non-respect par BDM de ses obligations lorsque survient un incident significatif dont elle a défini le seuil et non sur l’absence de tout « seuil de significativité » des incidents.
Les procédures internes
Selon le grief 13, BDM dispose d’un corpus de 34 procédures et 14 annexes qui encadrent les processus mis en œuvre pour l’activité de services de paiement et qui décrivent son environnement de contrôle interne. Ces procédures ne couvrent pas l’activité Payment.net qui s’est fortement développée à partir d’octobre 2018 et dont les risques et modalités d’exercice différent de ceux du service Starpass.
Les contrôles permanent et de conformité
Selon le grief 14, les contrôles de deuxième niveau sont largement inexistants. Ainsi, 7 des 34 procédures applicables au moment du contrôle sur place n’en mentionnent pas. Le rapport de contrôle relève également que BDM ne justifie pas que des contrôles de deuxième niveau sont réalisés et qu’elle ne dispose pas d’un plan de contrôle. La personne en charge des contrôles de deuxième niveau n’a pas été en mesure de décrire en quoi consistent ces contrôles. Il n’en existe pas de trace ni d’archivage.
Selon le grief 15, les contrôles de conformité sont effectués par BDM de manière irrégulière et se limitent essentiellement à une veille juridique très réduite et non formalisée. En particulier, il n’existe pas d’examen de conformité approfondi et indépendant pour l’engagement de BDM auprès de nouveaux segments de clientèle tels que les plateformes d’achat de crypto-actifs ou les casinos en ligne ou pour de nouveaux services comme Payment.net, ni pour le contrôle des opérations.
Il résulte des éléments produits par BDM que la perspective de la conclusion d’un accord avec une plateforme d’achat de crypto-actifs a donné lieu à une réflexion interne de l’établissement sur le risque de non-conformité qui pourrait en résulter et à des échanges avec le SGACPR. Ce seul élément ne permet toutefois pas de remettre en cause le grief plus général d’une absence de contrôle de conformité systématique, qu’illustre l’absence d’une réflexion, justifiée par des documents, sur la clientèle des casinos en ligne, le service Payment.net ou encore sur le contrôle de conformité des opérations.
Selon le grief 16, aucun contrôle de la conformité, notamment en LCB-FT, n’est prévu ni effectué pour la filiale BDM Hong Kong.
Contrôle périodique
Selon le grief 17, contrairement à ce que prévoient ses procédures, BDM ne réalise pas de contrôle périodique de ses activités de prestataire de services de paiement. L’établissement n’est pas en mesure de produire un réel plan de contrôle consistant en un cycle d’investigations, ni de rapport de contrôle périodique. Sa responsable du contrôle périodique a reconnu n’avoir consacré qu’une journée à ce travail en 2017, pour une simple revue des procédures en place. Elle n’avait pas de programme de travail établi, ni de vision du cycle d’audit à conduire. Elle a reconnu ne pas connaître les activités de services de paiement et ne pas être en mesure d’en faire le contrôle. Elle ne connaît pas les actions de contrôle permanent et ne dispose pas de résultats sur ce point. Elle ne vérifie pas l’efficacité ni le caractère approprié des dispositifs de gestion des risques et de leur enregistrement comptable. La société ne fait, par ailleurs, appel à aucun auditeur externe pour son contrôle périodique.
