Sanction prononcée le 24 février 2021 contre ING BANK France : Blâme et sanction pécuniaire de 3 millions d’euros
La société ING BANK France a été sanctionnée pour des conformités relatives à la LCB FT. Les griefs prononcés ont porté sur les sujets suivants :
Classification des risques
Selon le grief 1, la classification des risques d’ING France était, au moment du contrôle sur place, incomplète et « inopérante » :
– l’évaluation des risques de blanchiment des capitaux et de financement du terrorisme (ci-après « BC-FT ») pour son activité de banque de détail, réalisée dans le cadre d’exercices d’évaluation des risques produits (RCSA – « Risk Control Self-Assessments »), ne lui permettait pas d’appréhender de façon adaptée les risques de BC-FT liés à ses produits, notamment aux prêts à la consommation, en raison de l’absence de critères relatifs au montant des prêts accordés ou aux retraits en espèces associés, alors même que, dès 2015, dans son rapport d’activité « Tendances et analyse », Tracfin rappelait les risques de BC-FT associés à de telles opérations ;
– la classification des risques ne prenait pas suffisamment en compte les risques liés aux caractéristiques de la clientèle pour les activités de banque de détail et de BFI, notamment les risques liés à l’origine du patrimoine ou aux secteurs d’activité de ses clients.
Profil de risque des relations d’affaires
Selon le grief 2, au moment du contrôle sur place, le profil de risque des relations d’affaires n’était pas établi par ING France de façon cohérente et pertinente. Ainsi, pour l’activité de banque de détail, le profil de la relation d’affaires était déterminé au moyen de deux applications informatiques sans lien entre elles : [X] qui attribuait, lors de l’entrée en relation, un profil de risque et [Y], utilisé pour la surveillance des opérations et qui déclenche des alertes. Or l’utilisation de ces deux outils pouvait conduire à l’attribution à un même client de profils de risque différents et incohérents, en raison notamment de pondérations différentes de facteurs tels que la qualité de personne politiquement exposée (ci-après « PPE ») ou la catégorie socioprofessionnelle.
Par ailleurs, les profils de risque des clients, peu discriminants, ne permettaient notamment pas d’identifier les relations d’affaires présentant des risques plus élevés et nécessitant une vigilance accrue. Ainsi, l’essentiel des relations d’affaires présentait un profil de risque faible.
Enfin, le profil de risque établi n’avait qu’une influence limitée sur l’intensité des mesures de vigilance mises en œuvre tant en ce qui concerne les justificatifs exigés par l’établissement, lorsque le client présente un profil de risque élevé, qu’en ce qui concerne la surveillance des opérations, conduisant, le cas échéant, au déclenchement d’alertes.
Organisation et procédures en matière de transferts de fonds
Selon le grief 3, au moment du contrôle sur place, l’organisation et les procédures d’ING France au titre de son activité de banque de détail ne lui permettaient pas de détecter efficacement les informations manquantes, notamment les informations dépourvues de sens ou incomplètes sur le donneur d’ordre ou le bénéficiaire, en cas de transferts de fonds SEPA au bénéfice de ses clients. En outre, pour les transferts de fonds SEPA réalisés dans le cadre de cette même activité, elle ne disposait pas de procédures relatives à la détection des PSP du donneur d’ordre ou de leurs intermédiaires qui omettent de manière répétée de fournir les informations requises sur le donneur d’ordre ou le bénéficiaire afin de prendre des mesures adaptées à leur encontre et d’en informer l’ACPR.
Dispositif de suivi et d’analyse des opérations et relations d’affaires
Selon le grief 4, au moment du contrôle sur place, ING France ne disposait pas, pour son activité de banque de détail, d’un dispositif de suivi et d’analyse des opérations et relations d’affaires tenant compte des éléments de connaissance des clients, de leurs activités et des risques identifiés par la classification des risques, lui permettant notamment de détecter des opérations qui constituent des anomalies au regard du profil des relations d’affaires. Ce dispositif présentait d’importantes lacunes dont :
– l’absence, au sein de l’outil [Y], de scénario couvrant les crédits à la consommation, notamment les risques liés aux remboursements anticipés, et de scénario permettant de détecter les clients utilisant leurs comptes de dépôt à des fins professionnelles ;
– la mauvaise prise en compte du profil de risque des clients, qui ne permettait pas d’adapter le degré de surveillance des opérations réalisées, en raison d’un mauvais paramétrage du seuil de déclenchement des alertes ;
– un système défaillant pour la surveillance des opérations atypiques, qui déclenchait des alertes uniquement en cas de répétition de telles opérations ;
– le manque de fiabilité de l’outil de surveillance, qui a conduit à ce qu’à la suite d’une erreur informatique, les opérations réalisées les 3 et 4 août 2017 n’ont pas déclenché d’alertes.
Obligation de connaissance actualisée de la clientèle
Selon le grief 5, au moment du contrôle sur place, en premier lieu, le recueil par ING France des éléments de connaissance de ses clients en relation d’affaires était lacunaire. Ainsi, sur un échantillon de 66 dossiers examinés par la mission de contrôle, 16 dossiers ne comportaient aucune information relative au fonctionnement envisagé des comptes de dépôts. En outre, pour les clients présentant un profil de risque élevé, l’établissement n’exigeait aucun document justificatif, notamment sur l’origine et la répartition du patrimoine, à l’appui de la fiche de renseignements complémentaires (« fiche DRC »).
En second lieu, ING France n’avait pas mis en place de mesures efficaces permettant l’actualisation des dossiers clients, à l’occasion notamment d’événements significatifs.
Détection des personnes politiquement exposées et mise en œuvre des mesures de vigilance complémentaires requises
Selon le grief 6, au moment du contrôle sur place, dans 19 cas, la qualité de personne politiquement exposée (ci-après « PPE ») du client n’avait pas été détectée par ING France.
Défauts d’examen renforcé – Lutte contre le blanchiment et contre le financement du terrorisme
ING France n’a pas effectué d’examen renforcé dans 6 dossiers où elle aurait dû procéder à un tel examen
Obligation de déclaration de soupçon à TRACFIN
Selon le grief 8, ING France n’a pas respecté ses obligations de déclaration à Tracfin dans 13 dossiers.
Ni l’exercice par Tracfin de son droit de communication ni la réception de réquisitions judiciaires n’ont entraîné d’analyse du fonctionnement des comptes concernés ni de DS sur les opérations des clients détenteurs de ces comptes, afin de compléter l’information de Tracfin ou de l’autorité judiciaire.
Selon le grief 9, ING France n’a pas respecté ses obligations de déclaration complémentaire à Tracfin dans 7 dossiers.
Dispositif de gel des avoirs
Selon le grief 10, au moment du contrôle sur place, le dispositif de détection des personnes soumises à une mesure de gel des avoirs mis en place par ING France ne prenait pas en compte le nom des tuteurs ou des curateurs des majeurs protégés et ne portait pas sur le nom de naissance des clients, mais uniquement sur leur nom d’usage.
Sanction prononcée le 27 janvier 2021 envers la société COTIZUP : avertissement
La société COTIZUP a été sanctionnée pour des manquements relatifs à la LCB FT. Les griefs portaient sur les thèmes suivants :
Classification des risques
Selon le grief 1, la classification des risques de CotizUp était lacunaire.
Tout d’abord, elle ne tenait pas assez compte de la nature des projets financés, notamment du fait que les projets humanitaires, médicaux, éducatifs et culturels ou les projets qui concernent des personnes incarcérées ou encourant une peine d’emprisonnement présentent des risques accrus nécessitant une vigilance particulière, Tracfin soulignant, depuis 2014, les risques de détournement associés à ce type de projets. Par ailleurs, les caractéristiques des porteurs de projet et des participants étaient insuffisamment prises en considération, notamment pour les associations, qui présentent un risque, en particulier lorsqu’elles sont de création récente, ou pour les participants effectuant des dons pour des projets dont ils sont eux-mêmes porteurs.
Enfin, cette classification des risques ne tenait pas suffisamment compte de l’origine et de la destination des fonds, ce qui se traduisait par une absence d’informations sur le pays ou le territoire d’origine des fonds versés par les participants au projet.
Procédures internes
Selon le grief 2, les procédures de CotizUp intitulées « Procédures de contrôle permanent et de lutte contre le blanchiment et le financement du terrorisme » et « Procédures d’examen renforcé » étaient très incomplètes, en ce qu’elles ne comportaient aucun élément relatif à la détection des personnes politiquement exposées (ci-après « PPE »), à la mise en œuvre des mesures de vigilance complémentaires en raison d’une entrée en relation d’affaires à distance ou de la détection de PPE, à la mise à jour des éléments de connaissance de la relation d’affaires, à la consignation par écrit et aux modalités de conservation des résultats des examens renforcés et aux modalités de réalisation des déclarations de soupçon (ci-après « DS »).
Identification et vérification d’identité des clients et bénéficiaires effectifs
Selon le grief 3, la vérification de l’identité des porteurs de projet, personnes physiques, comme celle des personnes agissant pour le compte d’une association, était insuffisante, alors même que Tracfin a souligné les risques élevés liés à l’utilisation de faux documents d’identité sur les plateformes de financement participatif. Ainsi, seule la copie du recto de la carte nationale d’identité (CNI) des porteurs de projet ou des personnes agissant pour leur compte était recueillie.
Par ailleurs, CotizUp ne procédait pas systématiquement à l’identification et à la vérification d’identité des participants à un projet qui, en raison de la fréquence de leurs dons, doivent être regardées, pour elle, comme des relations d’affaires. Le grief mentionne ainsi 7 dossiers individuels au sujet desquels la poursuite reproche notamment un défaut de recueil des dates et lieux de naissance.
Connaissance de la relation d’affaires
Selon le grief 4, CotizUp avait une connaissance limitée de l’objet de ses relations d’affaires, ce qui ne lui permettait pas de s’assurer de la réalité des projets. CotizUp avait une connaissance insuffisante des personnes avec lesquelles elle doit être regardée comme étant en relation d’affaires. Ainsi, elle ne disposait pas d’informations suffisantes sur la situation professionnelle et financière des participants qui procèdent fréquemment à des dons ni sur l’origine des fonds versés. Les éléments recueillis sur la situation financière des porteurs de projet étaient eux aussi insuffisants, ce qu’illustrent 4 dossiers.
Conservation des informations
Selon le grief 5, la conservation par CotizUp des données relatives aux opérations financées par son intermédiaire était lacunaire. En particulier, en raison d’une défaillance technique, plusieurs projets réalisés en 2017 ont été effacés de sa base de données. CotizUp n’était donc pas en mesure de retracer l’origine et la destination des contributions.
Surveillance des opérations
Selon le grief 6, le dispositif de surveillance de CotizUp, décrit dans ses procédures internes, ne lui permettait pas de détecter ni d’analyser toutes les opérations atypiques en matière de BC-FT, susceptibles de faire l’objet d’un examen renforcé ou d’une DS. Ainsi, ce dispositif, qui reposait sur des contrôles effectués lors de la participation à une collecte ou du virement des fonds et sur un système d’alerte fondé sur une liste de critères :
– ne prévoyait pas de critère ou d’alerte permettant de détecter des opérations atypiques ou suspectes associées à un projet impliquant un pays présentant des risques plus élevés, notamment en matière de financement du terrorisme, alors même que Tracfin a mis en lumière le recours à des réseaux de collecteurs pour le recueil et l’envoi de fonds à destination de pays sensibles ;
– prenait insuffisamment en compte les risques de BC-FT liés aux caractéristiques des participants, notamment dans le cas où ceux-ci effectuent des dons pour des projets auxquels ils sont liés ;
– prenait insuffisamment en compte les risques de BC-FT liés aux modalités de réalisation des opérations, notamment les risques liés aux versements fractionnés, qui n’étaient pas toujours détectés et retenait un seuil de vérification des opérations de 50 000 euros, inadapté au regard du montant moyen des opérations financées par l’intermédiaire de CotizUp ;
– ne respectait pas les conditions de mise en œuvre d’un examen renforcé fixées par la réglementation, un « contrôle renforcé » n’étant effectué que lorsque plusieurs critères cumulatifs étaient réunis, ce qui est contraire aux dispositions de l’article L. 561-10-2 du CMF, et les diligences prévues ne respectant pas les dispositions de cet article qui imposent notamment de se renseigner sur l’origine des fonds.
Formation
Selon le grief 7, au moment du contrôle, le dirigeant de CotizUp n’avait suivi aucune formation dans le domaine de la LCB-FT.
Contrôle interne
Selon le grief 8, CotizUp ne disposait pas d’un dispositif de contrôle interne efficace : d’une part, alors que ses procédures indiquent qu’elle ne « travaille pas avec des pays sous embargo, sensibles ou en guerre […] », des projets concernant ces pays ont été financés par son intermédiaire ; d’autre part, alors que ses conditions générales d’utilisation prévoient qu’une « collecte n’est valide que si elle a fait l’objet de plusieurs participations de participants distincts », le projet [O8] de l’association [B], qui ne comptait qu’un seul participant, n’a pas été invalidé.
Défauts d’examen renforcé
Selon le grief 9, CotizUp n’a pas réalisé d’examen renforcé dans 3 dossiers.
Défauts de déclaration de soupçon
Selon le grief 10, CotizUp aurait dû effectuer une DS dans 7 dossiers.
