Les griefs notifiés ont été les suivants :
Selon le grief 1, la Banque ne respectait pas totalement, au moment du contrôle, ses obligations en matière de connaissance du client.
Selon la première branche du grief, le niveau de connaissance de la clientèle placée en risque élevé ou très élevé par l’établissement, qui doit pourtant faire l’objet d’une vigilance renforcée, était insuffisant. Ainsi, 34 des 224 dossiers de particuliers étudiés par la mission de contrôle concernent des clients placés en risque élevé ou très élevé. Or 9 de ces 34 dossiers ne comportaient pas de justificatif des revenus ou du patrimoine. Par ailleurs, sur les 191 dossiers de professionnels et d’entreprises mentionnés par la mission de contrôle, 14 concernent des clients actifs placés en risque élevé ou très élevé. Sur ces 14 dossiers, 8 ne comportaient pas de justificatif des revenus et du patrimoine, 4 dossiers ne contenant même aucune donnée financière.
Selon la seconde branche du grief, la périodicité de l’actualisation des informations relatives à la connaissance de la clientèle était, au moment du contrôle, insuffisante. Ainsi, 41 des 379 dossiers non clôturés que comportait l’échantillon sélectionné n’avaient pas été actualisés. À cet égard, le suivi effectué par les services de la Banque avait révélé un défaut de mise à jour des informations pour 21 % de la clientèle de l’établissement, notamment une absence ou une ancienneté des données relatives à la profession dans 39 % des cas et une absence ou une ancienneté des données relatives aux revenus des clients dans 84 % des cas.
Dès lors, la Banque n’était pas en mesure de contrôler la cohérence des opérations effectuées par ses clients en relation d’affaires avec leur activité, leurs revenus et leur patrimoine, ce qui ne lui permettait pas d’effectuer, le cas échéant, un examen renforcé de leurs opérations ou une Déclaration de soupçon (DS).
Pour les personnes morales, il est nécessaire, pour justifier que l’établissement dispose de renseignements suffisants, de disposer de documents comptables. Pour les associations, même pour celles qui n’étaient pas tenues d’établir des documents comptables, il appartenait à l’établissement, s’agissant de clients qu’il avait lui-même placés en risque élevé, de recueillir un justificatif de leur situation financière.
Selon le grief 2, le dispositif de suivi et d’analyse des opérations de la Banque était inadapté à son activité et incomplet.
Le paramétrage de certains scénarios était inadapté aux risques de blanchiment des capitaux et de financement du terrorisme (BC-FT) de l’établissement. Ainsi, le scénario « S03 - détection de versements espèces dont la somme est significative et avec une incidence comportementale » détectait les dépôts hebdomadaires d’espèces par des particuliers supérieurs à 14 000 euros et supérieurs à cinq fois la moyenne des trois mois précédents, quel que fût leur niveau de ressources. Ce seuil, en totale inadéquation avec la typologie de la clientèle de la Banque, conduisait à écarter 90 % des clients titulaires « non professionnels » et même plus de 99 % du segment de clientèle « particuliers grand public/particuliers par défaut ».
Aucun scénario n’était adapté aux opérations de faibles montants pouvant notamment relever du financement du terrorisme. Le seuil de 8 000 euros fixé par le scénario « S54 – Mouvements clients sous surveillance renforcée » n’a par exemple pas permis de détecter les opérations réalisées par un client qui aurait dû faire l’objet d’une DS à Tracfin pour ce motif.
Enfin, ce dispositif était incomplet en ce qu’il n’existait pas de scénario permettant de suivre la cohérence entre les revenus connus du client et les flux créditeurs sur son compte. Cela a empêché de détecter les opérations de plusieurs clients.
Quant à la vigilance humaine, dont l’utilité est indiscutable, elle peut seulement, dans un établissement de la taille de la Banque, compléter les alertes déclenchées par un dispositif automatisé.
Cette inadaptation du scénario S03 aux caractéristiques de la clientèle concernée a eu pour conséquence le déclenchement d’un faible nombre d’alertes. Ni la mise en place de requêtes spécifiques, visant à surveiller les retraits DAB de villes chinoises ou turques, ni la formation des collaborateurs à la détection de signaux faibles ne pouvaient suffire, dans un établissement de la taille de la Banque, à pallier l’insuffisance reprochée ici.
Par ailleurs, si des décalages entre les revenus déclarés par le client et les flux créditeurs enregistrés sur son compte sont fréquents, des écarts significatifs et récurrents constituent des anomalies qui doivent être détectées. Or aucun scénario permettant de détecter ce type d’incohérences n’avait été mis en place et les autres scénarios mentionnés en défense ne permettaient pas de pallier cette carence.
Le grief 2 est donc fondé. Une défaillance significative du dispositif de surveillance des opérations de l’établissement, composante de son dispositif LCB-FT, est établie, sans que le petit nombre de dossiers mentionnés par la poursuite, qui illustrent cette carence, en affecte la portée et sans qu’aient d’incidence les améliorations attendues du nouvel outil de détection fondé sur l’intelligence artificielle.
Selon le grief 3, une vingtaine de dossiers présentaient un défaut d’examen renforcé au moment du contrôle sur place.
Dans plusieurs de ces dossiers, les opérations étaient caractérisées par de nombreux mouvements d’espèces parfois précédés de remises de chèques, notamment de chèques de banque, la réception de virements de l’étranger, l’envoi fréquent de fonds via Western Union, la quasi-absence de mouvements correspondant au paiement de rémunérations sur le compte d’une société, dont l’activité exacte était en outre mal connue avec, dans certains cas, une absence de réponse du client aux demandes de renseignements de l’établissement.
Toutes ces opérations, dont la justification économique était mal connue, paraissaient incohérentes avec les éléments de connaissance du client, d’ailleurs le plus souvent lacunaires, dont disposait la Banque. Des DS étaient donc nécessaires.
Il résulte de tout ce qui précède qu’au moment du contrôle sur place, le dispositif de suivi et d’analyse des opérations de la clientèle de la Banque reposait sur un ensemble de scénarios incomplet, ce qui ne la mettait pas en mesure de détecter certains types d’opérations atypiques (grief 2).
Cette défaillance partielle d’une composante du dispositif LCB-FT constitue un manquement important à des obligations définies depuis longtemps par les textes, dont la portée a été explicitée par de nombreuses décisions de la Commission, qui a notamment déjà eu l’occasion de souligner l’importance, pour les organismes assujettis, de disposer d’un scénario établissant une relation entre les revenus d’un client et ses opérations (voir par exemple la décision Axa France Vie du 8 décembre 2016, procédure n° 2015-08, considérant 32). n
