Les griefs notifiés ont été les suivants :
Selon le grief 1, la connaissance qu’avait la Banque de ses clients au moment du contrôle était très lacunaire. Un premier rapport de l’audit interne sur son segment « banque patrimoniale » du 14 novembre 2017 avait constaté que de nombreux dossiers étaient incomplets et un second rapport, du 28 juin 2019, avait conclu à l’inefficacité de son dispositif de connaissance des clients, ce que confirmaient les constats du rapport de contrôle. Ce n’est qu’en juin 2020 qu’un plan de remédiation visant à reconstituer le « dossier KYC » de la totalité des clients a été engagé et qu’un contrat de prestation de services a été conclu à cette fin avec un prestataire externe. Au moment du contrôle sur place, la connaissance qu’avait la Banque de sa clientèle restait très lacunaire, ce qu’illustrent les éléments suivants : sur un échantillon de 67 dossiers de personnes physiques sélectionnés « de manière aléatoire » par la mission de contrôle, sur des critères de risque tels que la nationalité du client, son pays de résidence, des informations négatives le concernant, la « manipulation de crypto-actifs », 43 cas d’insuffisance ont été relevés dans 32 dossiers.
Par ailleurs, les cinq clients résidant dans des pays figurant sur la « liste grise » du Gafi ou sur la liste de l’Union européenne des pays tiers à haut risque n’avaient pas fait l’objet d’un processus spécifique d’approbation.
La Commission rappelle que, même quand le compte d’un client est inactif, l’établissement est tenu d’actualiser la connaissance du client selon les mêmes modalités, sauf à clôturer le compte ou, à tout le moins, à accomplir les diligences nécessaires pour clôturer le compte.
Selon le grief 2, la Banque n’a pas détecté la qualité de PPE de 12 de ses clients. Par ailleurs, elle n’a pas mis en œuvre de mesures de vigilance complémentaires pour 9 de ses clients dont la qualité de PPE avait pourtant été détectée. Enfin, le compte de 45 de ses clients résidant dans un pays à risque et qui n’était pas clôturé en décembre 2020 n’avait pas fait l’objet d’un processus de validation de l’entrée ou du maintien en relation d’affaires.
Selon le grief 3, le dispositif de gestion des risques de blanchiment des capitaux et de financement du terrorisme (BC/FT) de la Banque présentait plusieurs carences au moment du contrôle. D’une part, 10 clients étaient classés en risque faible ou moyen, alors que 8 d’entre eux présentaient des risques de blanchiment. D’autre part, le profil de risque de certaines relations d’affaires n’était pas à jour des derniers éléments négatifs connus de l’établissement. Ainsi, 134 clients ayant fait l’objet de réquisitions judiciaires et 108 clients ayant fait l’objet d’une demande de retour des fonds reçus en raison d’une suspicion de manœuvres frauduleuses étaient toujours classés en risque faible.
Selon le grief 4, au moment du contrôle, le dispositif de suivi et d’analyse des opérations de la Banque était inadapté et incomplet.
D’une part, il ne prenait pas en compte les informations relatives aux revenus, au patrimoine ou au fonctionnement attendu du compte et du niveau de risque utilisé pour décliner certains scénarios en fonction du score des clients (faible, moyen, fort) n’intégrait pas ces informations.
D’autre part, certains seuils, élevés, que l’établissement prévoyait en outre de relever, étaient en totale inadéquation avec la clientèle de la Banque, composée pour près de la moitié d’employés et de retraités, dont le revenu moyen mensuel était de 2 700 euros et le revenu médian mensuel de 1 980 euros. Ainsi, les seuils des scénarios apparaissent particulièrement inadaptés :
– ainsi, le seuil du scénario « Transfert France » était de 200 000 euros par semaine pour les clients classés en risque faible, 120 000 euros pour les clients en risque moyen, 90 000 euros pour les clients en risque fort et 300 000 euros pour les personnes morales ;
– le seuil du scénario « Chèque » sur les montants mensuels cumulés de chèques émis et reçus était de 120 000 euros pour les clients classés en risque faible, 180 000 euros pour les clients en risque moyen et 50 000 euros pour les clients en risque fort ;
– le seuil du scénario « Retrait CB » était de 8 000 euros par mois pour les clients classés en risque faible, 5 000 euros pour les clients en risque moyen et 3 000 euros pour les clients en risque fort ;
– le seuil du scénario « Transfert France » était, quel que fût le risque affecté au client, de 300 000 euros et il était prévu de le porter à 500 000 euros ;
– le seuil du scénario « Transferts internationaux » était de 15 000 euros par semaine.
En conclusion, en raison de leur caractère inadapté au regard des opérations des clients, ces seuils n’ont pas permis de détecter des opérations qui auraient dû faire l’objet d’un examen renforcé ou d’une déclaration de soupçon.
Le dispositif de suivi et d’analyse des opérations était par ailleurs incomplet, car il ne comportait aucun scénario permettant la détection de comptes de passage (réception puis émission de virements pour des montants équivalents dans des délais très courts), ni aucun scénario permettant de détecter les comptes collecteurs (nombreux virements ou paiements provenant de personnes physiques différentes ou à destination de personnes physiques différentes ou de plusieurs comptes à l’étranger). En conséquence, les opérations de plusieurs clients qui auraient dû donner lieu à une déclaration de soupçon (DS) n’ont pas été détectées (3 dossiers). De plus, le dispositif de surveillance ne comportait aucun scénario permettant la détection de gains de jeux atypiques, alors que la mission de contrôle a relevé plusieurs opérations qui en relevaient et auraient dû faire l’objet d’une DS (7 dossiers) ou d’un examen renforcé (1 dossier).
Selon le grief 5, la Banque a manqué à son obligation d’effectuer un examen renforcé dans 4 cas.
Enfin, selon le grief 6, elle a manqué à son obligation de déclarer certaines sommes ou opérations à Tracfin dans 26 cas.
