Les griefs reprochés ont été les suivants :
Selon le grief 1, le système de paramétrage de l’outil automatisé de surveillance et de détection des opérations atypiques présentait quatre insuffisances qui nuisaient à son efficacité.
En premier lieu, les comptes de clients dont les opérations avaient fait l’objet d’une déclaration de soupçon (DS) étaient, pendant 5 ans à compter de celle-ci, exclus de 29 des 82 scénarios de l’outil, qui représentaient 47 % des alertes.
Plusieurs scénarios étaient désactivés pour ces clients.
En outre, la banque retenait des tranches de revenus trop larges pour être pertinentes. Pour les particuliers, seules quatre tranches étaient définies : revenus annuels inférieurs à 18 000 euros pour les clients « de base », revenus compris entre 18 000 et 45 000 euros, revenus compris entre 45 000 et 80 000 et, enfin, revenus supérieurs à 80 000 euros pour le « segment fortuné ».
À titre d’illustration, le versement en deux ans, par un client sans emploi et sans revenus, de plusieurs chèques, pour un montant cumulé supérieur à 200 000 euros, n’a entraîné le déclenchement d’aucune alerte.
Par ailleurs, les seuils retenus par neuf scénarios étaient trop élevés, au regard des caractéristiques des opérations des clients, pour être pertinents : par exemple, déclenchement d’une alerte pour les versements en espèces supérieurs à 4 000 euros en sept jours pour les clients « de base », alors que la moyenne mensuelle des versements pour cette catégorie est de 600 euros, ou alerte dès qu’un chèque ou un virement dépasse 50 000 euros pour un client « de base » ou ayant des revenus inférieurs à 18 000 euros, ou que le cumul des crédits de chèques ou virements sur un mois dépasse 50 000 euros, ou encore que le cumul des crédits sur un mois dépasse 40 000 euros s’il est trois fois supérieur à la moyenne des crédits chèques et virements des six mois précédant les 30 jours antérieurs à la date du dernier mouvement pris en compte.
Enfin, les informations relatives aux revenus ou au chiffre d’affaires contenues dans les bases clients étaient incomplètes au moment du contrôle : la rubrique « revenus » de 24,5 % des clients personnes physiques titulaires, à fin novembre 2021 d’un compte dans les livres de l’établissement, n’était pas renseignée (14 % avaient un revenu enregistré égal à 1 euro). Le chiffre d’affaires de 71 % des clients personnes morales ayant un compte dans les livres de la Banque à fin novembre 2021 n’était pas renseigné.
Entre le 1er décembre 2020 et le 30 novembre 2021, 29 030 alertes ont été clôturées avec un motif « opération normale et cohérente » (ONC) sans aucun commentaire permettant de justifier les diligences faites pour lever le doute. Elles représentaient 10,2 % des alertes clôturées. De plus, 680 alertes ont été clôturées avec un commentaire inférieur à cinq caractères tel que « OK », « RAS » ou « VIRT ».
L’article 4 de l’arrêté du 6 janvier 2021 impose que les décisions de classement sans suite des alertes soient « dûment motivées ». Or, comme le relève la poursuite, pour un nombre très élevé d’alertes, la Banque se bornait, entre le 1er décembre 2020 et le 30 novembre 2021, lorsqu’une qualification ONC (« opération normale et cohérente ») était retenue, à un commentaire issu d’une liste déroulante (« vente/achat immobilier », « recettes », « subventions », « règlement fournisseurs », « succession/donation ») et, le cas échéant, à un commentaire manuel, tous deux très rapides et généraux, qui ne pouvaient être regardés comme des « motivations » permettant, même par une rédaction très succincte, de comprendre les diligences accomplies et la ou les raisons d’un classement sans suite, sans examen renforcé ni déclaration de soupçon à Tracfin.
Selon le grief 2, la Banque n’a pas eu recours, lors de l’entrée en relation d’affaires ou en cours de relation d’affaires, à un outil automatisé de filtrage des informations négatives publiques susceptibles d’affecter le profil de risque de ses clients, notamment des informations relatives à des condamnations pour des faits en lien avec des actes terroristes. Or, les orientations révisées sur les facteurs de risque de l’Autorité bancaire européenne (ABE), publiées le 1er mars 2021 et auxquelles l’ACPR s’est déclarée conforme en appelant les établissements concernés par ces orientations à tout mettre en œuvre pour les respecter, prévoient que « les établissements devraient utiliser des informations provenant de sources variées, qui peuvent être accessibles individuellement ou au moyen d’outils ou de bases de données qui sont disponibles dans le commerce et qui rassemblent des informations provenant de sources multiples ».
La Commission considère qu’une telle interprétation des dispositions citées au point précédent repose sur l’idée que, pour un organisme de la taille de la Banque, dont les activités et les clients sont très divers, le recours à un dispositif automatisé de filtrage des informations négatives (une « watchlist ») – élaboré en interne ou acquis sur le marché – est seul à même de garantir une connaissance adéquate des relations d’affaires et, par suite, la détermination d’un profil de risque réaliste pour chaque client, indispensable à l’efficacité d’un dispositif de LCB-FT. Il n’est cependant pas possible de considérer que l’article L. 561-5- 1 du Code monétaire et financier pouvait être interprété, au moment du contrôle, comme créant, implicitement mais nécessairement, une obligation claire et prévisible, pour les organismes assujettis, de recourir à un outil de filtrage automatisé des informations négatives publiques susceptibles d’affecter le profil de risque de leurs clients, notamment des informations relatives à des condamnations pour des faits en lien avec des actes terroristes, ni de sanctionner un manquement à une telle obligation. Il résulte de ce qui précède que le grief 2 ne peut qu’être écarté.
Selon le grief 3, la Banque n’a pas respecté son obligation d’effectuer un examen renforcé dans deux dossiers.
Selon le grief 4, sur les 73 dossiers examinés par la mission de contrôle, 24 présentaient un défaut de DS initiale et 6 un défaut de DS complémentaire : la Commission a retenu que le grief 4 était fondé pour 25 dossiers. n
