Les griefs prononcés ont porté sur les sujets suivants :
L’organisation et le contrôle interne du dispositif de LCB-FT
Grief 1 : CBSA ne s’est pas dotée de moyens humains suffisants pour traiter les alertes déclenchées par son dispositif de LCB-FT. En effet, au moment du contrôle, son pôle LCB-FT était doté de 6,8 équivalents temps plein, répartis en trois niveaux d’analyse. Or, en moyenne, entre mai 2018 et la fin de la mission de contrôle, 130 alertes ont été traitées quotidiennement pour 470 nouvelles alertes déclenchées. Il en est résulté, au 30 septembre 2019, soit plus d’un an après la mise en œuvre par CBSA d’un premier plan de remédiation, un stock de 100 000 alertes non traitées, ainsi que 900 dossiers susceptibles de faire l’objet d’une déclaration de soupçon (DS) et qui devaient être traités par la seule personne en charge des examens renforcés et des DS.
Grief 2 : CBSA a mis en place un dispositif d’analyse des alertes déclenchées par son outil de surveillance ne tenant pas suffisamment compte des risques liés à la nature des clients, au montant des opérations ou aux services offerts conformément à sa classification des risques. Il en est résulté de nombreux défauts d’examen renforcé et de DS.
En particulier, les alertes déclenchées par l’application sont présentées dans cet outil selon l’ordre alphabétique du nom des clients. Ainsi, CBSA traitait quatre fois plus d’alertes portant sur des clients dont le nom commence par la lettre A (60 %) que d’alertes portant sur des clients dont le nom commence par la lettre S (15 %).
Grief 3 : le Conseil d’administration de CBSA n’a pas été tenu suffisamment informé des carences dans le traitement des alertes LCB-FT. En effet, en 2018, cette instance, qui s’est réunie à 7 reprises, n’a été informée qu’une seule fois de l’existence d’un stock d’alertes non traitées.
Grief 4 : au moment du contrôle sur place, les contrôles permanents de second niveau au sein de CBSA ne couvraient pas l’ensemble de ses obligations en matière de LCB-FT. En particulier, ils n’avaient pas été déployés pour :
– le suivi de la mise en œuvre des obligations de vigilance complémentaires à l’égard des personnes politiquement exposées (ci-après les « PPE ») en relation d’affaires avec l’établissement ;
– la détection des « comportements atypiques » et des transactions inhabituelles devant faire l’objet d’une saisine du pôle LCB-FT ;
– le traitement des alertes ;
– le filtrage au regard des listes de sanction et l’identification de personnes faisant l’objet d’une mesure de gel des avoirs ainsi que leur signalement à la direction générale du Trésor.
Grief 5 : CBSA n’avait défini aucune procédure prévoyant les modalités des échanges d’informations nécessaires à la vigilance en matière de LCB-FT avec sa filiale, établissement belge de monnaie électronique.
La mise en œ uvre des obligations de vigilance
Grief 6 : les éléments de connaissance des clients en relation d’affaires que recueillait CBSA au moment du contrôle sur place étaient insuffisants. Ainsi, aucun document justificatif des revenus ou du patrimoine n’était exigé lors de l’ouverture d’un compte C-Zam pour les clients dont l’établissement considérait pourtant qu’ils présentaient un profil de risque élevé, notamment en raison de leur situation professionnelle, sauf pour ceux qui avaient la qualité de PPE.
En outre, les éléments recueillis étaient parfois incohérents : ainsi, 696 clients titulaires de comptes C-Zam, ont déclaré un revenu mensuel supérieur à 10 000 euros, qui était incompatible avec la situation professionnelle qu’ils avaient indiquée (401 employés, 176 demandeurs d’emploi, 87 techniciens et 32 étudiants). De même, 234 clients C-Zam, nés avant 1950, ont mentionné, au moment de leur entrée en relation d’affaires, une situation professionnelle incohérente avec leur âge.
La Commission des sanctions précise ainsi que, « [s]i les établissements assujettis disposent d’une marge d’appréciation pour la mise en œ uvre de leurs obligations en matière de connaissance des clients, ils n’en sont pas moins tenus de mettre en place un dispositif efficace, c’est-à-dire qui leur permette notamment de détecter, parmi les opérations atypiques de leurs clients, celles dont Tracfin doit être avisé ».
Grief 7 : le dispositif de détection des PPE mis en place au sein de CBSA était inefficace au moment du contrôle. Ainsi, aucune périodicité n’ayant alors été prévue pour le filtrage intégral de la base clients afin de détecter les PPE, le dernier filtrage avait été effectué à l’été 2018. De plus, sur les 69 PPE détectées par CBSA au sein de sa clientèle, 41 l’avaient été à l’occasion de ce filtrage, alors qu’elles avaient cette qualité depuis 2017 au moins. En outre, le dispositif de détection ne prévoyait pas, lorsqu’une PPE était détectée, de vérifier si CBSA était également en relation d’affaires avec des membres directs de sa famille. La mise en œuvre des mesures de vigilance complémentaires applicables aux PPE présentait elle aussi des insuffisances. Ainsi, pour la majorité des PPE détectées, CBSA n’avait pas recueilli d’informations sur l’origine du patrimoine et des fonds impliqués dans la relation d’affaires.
Grief 8 : 7 dossiers présentaient un défaut d’examen renforcé.
Grief 9 : CBSA n’a pas respecté ses obligations de déclaration à Tracfin dans 56 dossiers relatifs à des clients titulaires d’un compte C-Zam.
Grief 10 : 13 des 26 DS réalisées par l’établissement et analysées par la mission de contrôle comportaient des éléments d’analyse insuffisants et des informations relatives à la connaissance des clients lacunaires.
Grief 11 : sur l’échantillon analysé par la mission de contrôle, 11 DS ont été envoyées tardivement. Le délai moyen de transmission des DS à Tracfin, calculé par la mission de contrôle, était de 104 jours en 2018 et de 180 jours au premier semestre 2019. En outre, parmi les DS transmises à Tracfin au premier semestre 2019, 12 % l’ont été dans un délai supérieur à 360 jours.
Grief 12 : le dispositif de détection des personnes soumises à une mesure de gel des avoirs mis en place par CBSA présentait des défaillances au moment du contrôle.
En premier lieu, ce dispositif était inefficace car il exigeait de nombreuses manipulations (paramétrage et intégration manuels des fichiers dans l’outil de détection des clients faisant l’objet d’une sanction financière), qui ont entraîné des carences. En particulier, certains fichiers clients n’ont pas fait l’objet d’un filtrage en raison d’une erreur opérationnelle. Certains fichiers ont fait l’objet d’un filtrage partiel en raison d’une erreur de sélection de format lors du chargement du fichier.
En second lieu, ce dispositif n’était pas exhaustif puisqu’il ne comportait aucun filtrage des opérations effectuées par les clients de CBSA au bénéfice d’une personne ou d’une entité faisant l’objet d’une mesure restrictive mais uniquement de ses bases clients. n
