Les griefs notifiés ont été les suivants :
Selon le grief 1, la Banque ne s’était pas dotée de moyens humains suffisants pour lui permettre de respecter l’ensemble de ses obligations en matière de LCB/FT. En effet, au moment du contrôle, deux personnes seulement étaient chargées de la mise en œuvre de son dispositif, ce qui était manifestement insuffisant au regard du volume d’activité de l’établissement et de l’ampleur des tâches confiées à ces salariés.
Or, la Banque produit plusieurs dizaines de milliers de contrats par an et gérait, fin 2020, plus de 100 000 contrats actifs pour plus de cent mille clients personnes physiques et quelques dizaines de milliers de clients personnes morales. Les deux salariés en cause étaient chargés des tâches suivantes :
– la lutte contre la fraude, notamment la gestion des dossiers en matière de fraude, en liaison avec les autorités judiciaires ;
– l’identification des principaux facteurs de risque en matière de blanchiment de capitaux et de financement du terrorisme (BC-FT) et en matière de fraude ;
– la validation de l’entrée en relation d’affaires avec certains clients présentant des risques plus élevés de BC-FT ;
– l’analyse des alertes issues des scénarios de surveillance des opérations en matière de LCB/FT (soit 694 alertes sur le seul mois de décembre 2020) et des alertes « manuelles » transmises par les autres services de la Banque, les concessionnaires ou les prestataires ;
– la réalisation des examens renforcés (106 en 2019 et 90 en 2020) ;
– le traitement de l’ensemble des alertes relatives aux personnes politiquement exposées (PPE) et aux personnes soumises à des mesures de gel des avoirs non clôturées par le prestataire externe et les équipes de la direction des opérations ;
– les réalisation et transmission à Tracfin des déclarations de soupçon (ci-après « DS ») (36 en 2020 et 73 en 2021) ;
– le traitement des réquisitions judiciaires et des demandes de communication de Tracfin (soit 34 dossiers en 2020) ;
– la réalisation de certains contrôles permanents de premier ou second niveau en matière de LCB/FT et de lutte contre la fraude.
Cette insuffisance des effectifs a été à l’origine de certaines des défaillances constatées par ailleurs par la mission de contrôle : toutes les alertes issues du dispositif de surveillance LCB/FT n’étaient pas traitées (par exemple, en décembre 2020, 64 des 694 alertes déclenchées ont été traitées) ; les « extractions intégrant les scénarios de surveillance LCB/FT » et le traitement des alertes ont été interrompus entre février et octobre 2020 ; les délais de transmission des DS (103 jours en moyenne en 2021), de réponse aux demandes de communication de Tracfin et aux réquisitions judiciaires étaient excessifs ; les contrôles permanents n’ont pu être réalisés selon la fréquence prévue dans le plan de contrôle.
Selon le grief 2, la Banque ne recueillait pas un extrait pertinent du registre des bénéficiaires effectifs (ci-après « RBE ») pour la vérification de l’identité des bénéficiaires effectifs de ses clients personnes morales.
Or, entre le 14 février 2020, date d’entrée en vigueur de l’article R. 561-7 du CMF, qui impose cette obligation, et le 31 décembre 2020, la Banque est entrée en relations d’affaires avec plusieurs milliers de clients personnes morales. En conséquence, l’établissement n’a pas été en mesure de signaler, le cas échéant, au greffier du tribunal de commerce les divergences qu’il aurait constatées entre les informations contenues dans l’extrait du registre et celles dont il disposait, comme l’impose l’article L. 561-47-1 du CMF.
Selon le grief 3, la Banque ne respectait pas ses obligations d’actualisation de la connaissance de ses clients. En premier lieu, alors que la réglementation LCB/FT impose aux organismes assujettis d’actualiser les informations qu’ils détiennent sur leurs clients, la procédure en vigueur au sein de la Banque, qui n’a été mise en place qu’à compter de novembre 2019, prévoyait une actualisation de ces informations lorsqu’un client concluait un nouveau contrat et tous les deux ans pour les clients classés en risque élevé. Ainsi, aucune actualisation n’était prévue pour les clients placés en risque standard ou faible, qui constituent 99,5 % de la clientèle de la Banque (première branche du grief). En deuxième lieu, en septembre 2020, l’application de cette procédure n’a conduit la Banque à contacter que 26 clients sur les 607 classés en risque élevé pour « mise à jour des coordonnées personnelles ». Seuls 6 de ces clients ont répondu et l’absence de réponse des autres clients n’a donné lieu à aucune action de la part de l’établissement.
La Banque n’a ainsi procédé à aucune actualisation de la connaissance de ses autres relations d’affaires placées en risque élevé, parmi lesquelles des PPE.
En troisième lieu, le score de risque du client, qui synthétise la connaissance qu’ont les organismes assujettis de leurs relations d’affaires, n’était pas modifié à la suite d’une DS ou d’une réquisition judiciaire.
Selon le grief 4, le dispositif de détection des PPE de la Banque reposait sur l’outil qui filtre les clients au regard des listes de PPE, tant à l’entrée en relation d’affaires qu’en cours de relation. Le traitement des alertes issues de cet outil incombait, dans un premier temps, au prestataire externe [Y], puis, si l’identité du prospect ou du client concordait avec celui qui figure sur les listes (« match »), à la Banque. Or, ce dispositif s’est avéré défaillant, la qualité de PPE de 11 clients en relation d’affaires n’ayant pas été détectée. Par ailleurs, les fichiers de reporting prévus par le dispositif de détection des PPE de la Banque, sur lesquels ne figurent que les mentions « match » ou « no match », ne permettaient pas à l’établissement de détecter une éventuelle erreur d’analyse de son prestataire.
Selon le grief 5, le dispositif de gel des avoirs mis en place par la Banque ne lui permettait pas de se conformer à ses obligations. En effet, si la base clients était soumise à un filtrage quotidien, l’analyse des alertes de premier niveau, effectuée par le prestataire pouvait être différée de plusieurs jours, voire de plusieurs semaines, ce qui ne permettait pas une mise en œuvre immédiate des mesures de gel des avoirs.
Selon le grief 6, le dispositif de suivi et d’analyse des opérations et des relations d’affaires de la Banque était, en premier lieu, inadapté et incomplet, ce qui l’a empêchée de détecter des opérations qui auraient dû faire l’objet d’un examen renforcé (ER) ou d’une déclaration de soupçon (DS).
Ce dispositif reposait à la fois sur des scénarios et sur l’application manuelle de filtres visant à sélectionner certaines opérations détectées par les scénarios. Il ne prenait pas suffisamment en compte le score de risque de la clientèle. En effet, celui-ci n’était pas renseigné, pour 98 % des contrats, sur lequel se basent principalement les scénarios.
Par ailleurs, le dispositif de surveillance de la Banque ne tenait pas suffisamment compte des caractéristiques de ses relations d’affaires. D’une part, les scénarios mis en place par la Banque ne tenaient pas compte des revenus des clients comme critères d’alerte.
Ainsi, à titre d’exemple, faute de prise en compte du profil de risque du client, notamment de ses revenus, le remboursement anticipé total réalisé par un client n’a pas été détecté par l’établissement alors que son montant était neuf fois supérieur aux revenus mensuels du client. D’autre part, le scénario relatif aux opérations de remboursements anticipés réalisées par les clients PPE, ne s’appliquait pas pour des clients devenus PPE en cours de relation d’affaires.
En outre, au moment du contrôle, le dispositif de surveillance LCB/FT de la Banque ne prenait pas en compte les risques liés au financement de véhicules haut de gamme, dits de « luxe ». Or, le financement de tels véhicules présente des risques de BC/FT plus élevés qu’a soulignés l’analyse sectorielle des risques de BC/FT de l’ACPR de décembre 2019.
Enfin, au moment du contrôle, le dispositif de surveillance LCB/FT mis en œuvre par la Banque était insuffisamment adapté aux risques de financement du terrorisme (FT). En particulier, aucun scénario n’était dédié au risque de FT, alors que l’analyse sectorielle des risques de BC-FT de l’ACPR a souligné que le crédit-bail (leasing) est utilisé pour financer le terrorisme et qu’elle a fait état des risques liés à la revente frauduleuse des véhicules.
En deuxième lieu, les alertes déclenchées par les scénarios automatiques n’étaient pas toutes traitées ou l’étaient dans un délai trop long. Sur le premier point (absence de traitement des alertes), à titre d’exemple, en décembre 2020, seules 64 alertes ont été traitées par l’établissement, soit moins de 10 % des 694 alertes. S’agissant plus particulièrement des alertes relatives aux opérations de remboursement anticipé total, qui présentent des risques plus élevés en matière de BC/FT, l’établissement n’a traité que 241 des 469 alertes en 2020 : en juillet, l’établissement a choisi de ne pas traiter les 14 alertes concernant des remboursements par chèque de banque alors même qu’il avait identifié ce moyen de paiement comme présentant des risques plus élevés de BC/FT ; d’août à décembre, l’établissement a choisi de limiter son analyse aux alertes relatives aux dix remboursements les plus élevés. De surcroît, en décembre, l’établissement a supprimé le filtre relatif aux relations d’affaires présentant un score de risque supérieur à 7. Il en est résulté que, sur cette période, l’établissement n’a traité que 50 des 249 alertes. Sur le second point (traitement des alertes tardif), les scénarios ne s’appliquaient pas « au fil de l’eau », sur les opérations réalisées par les clients de l’établissement, mais étaient « joués en début de mois pour les opérations du mois précédent ». En outre, le traitement des alertes pouvait être différé dans le temps. Ainsi, le traitement des alertes issues du dispositif de surveillance des opérations n’a pas été effectué entre février et octobre 2020, ce qu’a également relevé un rapport de l’audit interne.
Selon le grief 7, un défaut d’examen renforcé aurait dû être effectué par La Banque dans 5 cas.
Selon le grief 8, La Banque n’a pas respecté son obligation de déclarer à Tracfin certaines sommes ou opérations dans 6 cas.
Selon le grief 9, au moment du contrôle, le traitement par un prestataire des alertes en matière de gel des avoirs ne faisait pas l’objet d’une convention formalisée permettant d’en définir les modalités et de préciser, notamment, le délai de traitement des alertes ou encore les modalités de gestion des listes de « faux positifs » et les détails de l’algorithme utilisé, dont l’établissement n’a, de surcroît, pas été en mesure de présenter les caractéristiques à la mission de contrôle.
Selon le grief 10, le dispositif de contrôle interne mis en place par La Banque sur la prestation externalisée ne permettait pas à l’établissement de s’assurer que son prestataire se conformait à ses obligations en matière de détection des PPE et de gel des avoirs. En premier lieu, La Banque n’était pas en mesure de s’assurer que le prestataire traitait l’ensemble des alertes, y compris en matière de gel des avoirs, faute pour le prestataire de renseigner systématiquement la qualification « match » ou « no match » dans les fichiers de reporting, ce qu’il n’a pas fait pour 5 % des 31 317 alertes transmises à La Banque entre janvier et juin 2020 et 8 % des 41 778 alertes transmises à La Banque entre juillet et décembre 2020.
En deuxième lieu, au moment du contrôle, La Banque ne s’assurait pas que le traitement des alertes par le prestataire était réalisé avec célérité, afin de lui permettre notamment de mettre en œuvre sans délai une mesure de gel des avoirs. Or, l’analyse des alertes pouvait être différée de plusieurs jours. En troisième lieu, au moment du contrôle, le dispositif de contrôle interne mis en place par La Banque ne lui permettait pas de s’assurer que le classement sans suite d’une alerte (« no match ») était dûment documenté ou justifié. En quatrième lieu, le dispositif de contrôle permanent de premier niveau mis en place par La Banque sur le classement des alertes était lacunaire. En effet, le prestataire pouvait classer une alerte sans suite, y compris en matière de gel des avoirs, sans que l’établissement exerce un contrôle de premier niveau. En cinquième lieu, les contrôles permanents de second niveau mis en place par La Banque sur le traitement des alertes par le prestataire étaient manifestement insuffisants. En effet, le plan de contrôle permanent de second niveau élaboré par l’établissement prévoyait le contrôle d’un échantillon de 8 alertes par trimestre, dont 4 alertes classées sans suite (« no match »), soit 32 alertes par an, ce qui était manifestement insuffisant au regard des 73 095 alertes traitées par le prestataire en 2020. n
