Nouveaux moyens de paiement, banque digitale et protection des données : Lutte antiblanchiment : sanction de l’ACPR à l’encontre d’un établissement de paiement exerçant en B2B

« Mon Dieu, gardez-moi de mes amis. Quant à mes ennemis, je m’en charge. » Attribuée à Voltaire, cette citation nous est venue à l’esprit en lisant la décision n° 2016-05 rendue le 30 mars 2017 par la Commission des sanctions de l’ACPR à l’encontre de l’établissement de paiement L., puni d’un blâme, d’une sanction pécuniaire de 80 000 euros et, surtout (c’est évidemment cela qui fait le plus mal), de la publication nominative de la décision.

Pourquoi associer cette citation à une décision de sanction qui ressemble fort peu à un conte philosophique ? Parce que l’établissement de paiement en cause paraît, disons, victime de ses « mauvaises fréquentations » ; victime, en quelque sorte, après une tentative d’offre de service de paiement mobile de personne à personne, d’avoir « réorienté son offre de services pour mettre sa plateforme de paiement à la disposition de sites partenaires de collecte en ligne, de financement participatif, de place de marché de e-commerce et, jusqu’en décembre 2015, de cartes prépayées et de bitcoins » ( n° 1 [1] ); victime, donc, de n’avoir pris la mesure de certaines activités dangereuses proposées par ses partenaires.

Si la décision sous commentaire était un arrêt de la Cour de cassation, elle n’aurait sans doute pas les honneurs d’une publication au Bulletin ; elle n’est assurément pas une « grande » décision. Mais outre le fait qu’elle est seulement la troisième qui sanctionne un établissement « alternatif » (établissement de paiement ou établissement de monnaie électronique [2] ), elle nous livre au moins deux enseignements intéressants : le premier est que la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) ne s’arrête pas à la connaissance du client (final) mais doit prendre en compte la nature de l’activité exercée par son partenaire B2B ; le second, que la connaissance (consolidée) du client doit être privilégiée sur l’analyse des opérations réalisées.

Des activités à risque. L’établissement de paiement L. était donc partenaire d’un site d’échange de bitcoins – lui-même agent –, dont l’identité de 34 clients n’avait pas été vérifiée, bien qu’ils aient utilisé ses services de paiement, à quoi s’ajoutaient des carences en matière de déclaration de soupçon ou de gel des avoirs. La décision rappelle que les opérations sur bitcoins présentent un risque de BC-FT particulièrement élevé, ce que Tracfin martèle maintenant depuis plusieurs années [3] . Et « le fait que la position de l’ACPR sur les bitcoins n’ait été publiée que le 29 janvier 2014, ou qu’“Il n’existe toujours pas à ce jour de disposition légale permettant de qualifier les BitCoins”, n’est pas de nature à remettre en cause le reproche », observe la Commission des sanctions (n° 7). Le remède est tout simple : les relations avec le site de trading de bitcoins ont cessé (n° 37), ce dont il est « donné acte » à l’établissement (n° 40).

On sait combien les cartes prépayées ont été stigmatisées depuis les attentats sur le sol français : « Les cartes prépayées anonymes, rechargeables en espèces et permettant d’effectuer des retraits, des achats sur Internet ou des transferts de fonds, constituent aujourd’hui un risque majeur en termes de lutte contre le blanchiment et le financement du terrorisme [4] ». Notre établissement permettait l’alimentation d’un compte de paiement en vue du rechargement, par un établissement de monnaie électronique, de cartes prépayées (n° 16). Il accompagnait aussi des plates-formes de financement participatif, activité que Tracfin classe également à risque (dématérialisation des échanges, immédiateté des opérations, absence de relation physique entre les utilisateurs [5] ), et même à risque élevé selon la Commission des sanctions (n° 16). Or si l’établissement L., en application de sa classification des risques, prévoyait bien des mesures de vigilance renforcées [6] , celles-ci n’étaient déclenchées que lorsque les opérations réalisées par les utilisateurs dépassaient 100 000 euros en un an, seuil jugé inadapté tant pour le crowdfuunding (prêts légalement plafonnés à 1 000 ou 4 000 euros, panier moyen de 200 euros) que pour les cartes prépayées (n° 16 et 17). La Commission ajoutant, concernant le financement participatif, que « la circonstance que les pouvoirs publics ont pris des mesures destinées à favoriser ce type de financement n’est pas de nature à exonérer un organisme assujetti de ses obligations en matière de LCBFT » (n° 17).

Une remarque, toutefois, au sujet du crowdfunding : revenait-il bien à l’établissement de paiement partenaire d’exécuter les obligations de vigilance des clients de son agent ? Car les intermédiaires en financement participatif par prêts (dorénavant par dons aussi) sont, per se, assujettis à la LCB-FT ; car il nous revient en mémoire que l’ACPR a écrit que « les obligations des établissements de paiement lors des mouvements de fonds ne [peuvent] se substituer à celles des plates-formes qui ont le premier contact avec les prêteurs et les porteurs de projets, y compris avant même la publication des projets sur leur site [7] ». Il eût été intéressant de creuser ce partage des rôles entre mandant (établissement de paiement) et mandataire (agent) pareillement assujettis.

Le suivi du client plutôt que l’analyse des opérations. La LCB-FT ne s’arrête pas à l’identification du client à l’entrée en relation ; elle impose aussi le suivi et l’analyse de la relation d’affaires, ce que la Commission des sanctions rappelle, en considération de l’article 46 de l’arrêté du 3 novembre 2014 relatif au contrôle interne : « Les entreprises assujetties se dotent de dispositifs de suivi et d’analyse de leurs relations d’affaires, fondés sur la connaissance de leur clientèle, permettant notamment de détecter les opérations qui constituent des anomalies au regard du profil des relations d’affaires et qui pourraient faire l’objet d’un examen renforcé mentionné au II de l’article L. 561-10-2 du Code monétaire et financier ou d’une déclaration prévue à l’article L. 561-15 du même code » (n° 18).

Or le dispositif antiblanchiment de l’établissement de paiement L. souffrait de ceci : ses alertes étaient paramétrées en fonction de seuils d’opérations prédéfinis en montant unitaire ou cumulé sur un an, cependant que, alors qu’un même client pouvait avoir plusieurs identifiants, l’établissement était incapable d’opérer un quelconque rapprochement (n° 19). Si bien que « l’application de seuils par opération, si pertinente qu’elle soit, ne permettait pas, à la date du contrôle, de disposer d’un dispositif efficace de suivi et d’analyse des relations d’affaires » ; qu’« il n’est pas reproché à L. d’avoir mis en place une analyse par opération mais de ne pas avoir complété cette analyse par un examen agrégé des opérations du client » (n° 20).

Une dernière remarque pour clore ce rapide commentaire de la décision n° 2016-05 : il en va des faux amis (cf. Voltaire) comme des mauvaises bonnes intentions. En effet, aux numéros 5 et 6 de sa décision, la Commission des sanctions remarque que l’établissement de paiement L. faisait signer systématiquement à ses clients, préalablement à l’utilisation de sa plate-forme de paiement, un contrat-cadre de services de paiement, composé de CGU, de conditions tarifaires et d’un formulaire d’ouverture de compte de paiement. Ce faisant, L. s’engageait à identifier ses clients contractuellement en relation d’affaires, identification qui n’était bien souvent pas réalisée (exemple d’un site de financement participatif ), mais pour constater, a posteriori, que peu d’entre eux avaient utilisé ses services de paiement au moyen d’un compte de paiement, la plupart se contentant d’opérations ponctuelles. Et voici que la Commission nous livre une clé : « désormais, L. a corrigé ses procédures et n’impose plus aux utilisateurs-payeurs “systématiquement la signature du contrat-cadre de services de paiement”, de sorte que les mêmes utilisateurs ne relèvent plus nécessairement de la catégorie des “relations d’affaires” ; qu’ainsi, ce reproche tient en grande part à des choix de procédure de L. et doit être largement relativisé ».

Achevé de rédiger le 12 mai 2017.

La chronique Nouveaux moyens de paiement, banque digitale et protection des données est assurée par Myriam Roussille et Pierre Storrer.

1 Au n° 38 de la décision, l’on parle de « changement radical de modèle de développement de l’entreprise ». 2 Voir déjà Commission des sanctions, déc. n° 2014-05, 26 févr. 2015, établissement de paiement C. (fonds propres), et déc. n° 2014-10, 16 oct. 2015, établissement de monnaie électronique T. (protection des fonds collectés et LCB-FT), Banque et Droit n° 164, nov.-déc. 2015, p. 56, com. M. Roussille. 3 Tracfin, Encadrement des monnaies virtuelles, juin 2014 ; et Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2015, p. 69. 4 Tracfin, Tendances et analyse des risques de blanchiment de capitaux et de financement du terrorisme en 2015, précit., p. 36. 5 Tracfin, précit., p. 64. Voir aussi Tracfin, Rapport d’analyse et d’activité 2013, p. 25. 6 Cf. CMF, art. L. 561-10-2 et, par suite de l’ordonnance n° 2016-1635 du 1er décembre 2016, art. L. 561-10-1. 7 Revue ACPR n° 28, mai-juin 2016, p. 15.