Les griefs reprochés ont été les suivants :
I. Sur l’organisation du dispositif LCB-FT
1. Sur la classification des risques
Selon le grief n° 1, le seuil défini par CNP Assurances pour classer, pour le canal de distribution bancaire, une opération en risque élevé n’était pas suffisamment adapté aux risques portés par l’organisme.
Il est reproché à CNP un seuil trop haut et éloigné du montant moyen des opérations de versements. Or la référence à un seuil unique et fixe, par opération ou sur 12 mois glissants, non modulé selon le profil des clients et la nature des opérations, est difficilement compatible avec une approche par les risques. En atteste le fait que 95 % des versements libres n’étaient pas examinés.
De plus, CNP Assurances se voit reprocher d’avoir tardivement mis à jour cette classification notamment en ne classant en risque élevé le remboursement des bons de capitalisations au porteur qu’en 2015 et d’avoir remboursé ces BCP en 2014 sans classification en risque élevé.
Ces bons de capitalisation au porteur entrent pourtant dans la catégorie des produits favorisant l’anonymat et doivent de ce fait être classés en risques élevés. Ce risque se réalise précisément au moment du remboursement.
2. Sur les règles et procédures internes
Selon le grief 2, les annexes LCB-FT aux conventions de délégation de gestion conclues par CNP Assurances avec ses deux partenaires bancaires ne sont pas suffisamment cohérentes avec sa propre classification des risques.
De plus, la procédure de CNP Assurances ne prévoyait pas :
– les modalités d’identification du bénéficiaire effectif d’une personne morale ;
– les mesures de vigilance complémentaire à mettre en œuvre à l’égard d’un client qui devient une personne politiquement exposée (ci-après « PPE ») en cours de la relation d’affaires ;
– les mesures à diligenter en présence d’opérations réalisées par des personnes établies ou enregistrées dans un État ou un territoire non coopératif.
3. Sur le dispositif de suivi et d’analyse de la relation d’affaires
Selon le grief 3, le dispositif de suivi et d’analyse des relations d’affaires de CNP Assurances, qui repose a priori sur des outils de détection des opérations atypiques par l’utilisation de seuils et de scénarios déclencheurs d’alertes, et a posteriori sur des scénarios paramétrés dans l’outil informatique « X », a été considéré comme insuffisant.
Il est reproché à CNP Assurances notamment de ne pas avoir intégré à ces seuils de vigilance ou ces scénarii d’alertes des éléments de connaissance des clients relatifs à leur patrimoine ou leurs revenus.
Ces défauts ont eu pour conséquence que peu d’alertes ont été remontées et que pour certaines, elles ont été classées sans suite sur la base de l’analyse d’un seul des critères utilisés dans les scénarii.
4. Sur le contrôle interne du dispositif de LCB-FT
Selon le grief 4, CNP Assurances n’a pas veillé à la bonne application des annexes de LCB-FT des conventions de délégation de gestion passées avec ses réseaux distributeurs.
Il est reproché à CNP Assurances, qu’usant de la tierce introduction, elle n’a pas effectué les diligences nécessaires pour obtenir à première demande et au plus tard dans les 15 jours les documents et informations recueillis à l’entrée en relation par les réseaux bancaires qui détiennent les dossiers clients. Ce délai, en moyenne de 26 jours, était trop long.
II. Sur la mise en œuvre des obligations de vigilance
1. Sur l’obligation de connaissance de la clientèle
Selon le grief 5, une trentaine de dossiers clients relevés par la mission de contrôle ne comportaient pas tous les éléments nécessaires à une bonne connaissance de la relation d’affaires, soit en raison de l’absence ou de défaut de mise à jour de l’information sur la situation financière de celle-ci, soit en raison de l’absence ou de l’inexactitude de la profession renseignée.
2. Sur l’obligation de vigilance complémentaire en présence d’une personne politiquement exposée
Selon le grief 6, CNP Assurances ne s’est pas dotée des moyens suffisants pour lui permettre de détecter efficacement les PPE à l’entrée en relation d’affaires.
Il a été notamment reproché à CNP Assurances la fréquence hebdomadaire et annuelle des filtrages informatiques a posteriori qui ne garantissait pas le respect de ses obligations en matière d’identification et de vigilance liées aux personnes politiquement exposées.
CNP Assurances n’était pas en mesure d’autoriser l’entrée en relation de ses clients PPE, puisqu’elle n’était pas systématiquement avisée en temps utile de leur statut.
3. Sur l’obligation de vigilance complémentaire en présence de clients enregistrés ou établis dans un Etat ou un territoire non coopératif
Selon le grief 7, le dispositif de CNP Assurances ne lui permettait pas d’identifier les opérations réalisées par une personne résidant dans un état ou territoire non coopératif (ci-après « ETNC ») et titulaire d’un compte bancaire en France
4. Sur l’obligation de vigilance renforcée en cas de risque élevé
Selon le grief 8, 7 dossiers présentaient un défaut de vigilance renforcée.
En effet, il est reproché à CNP Assurances de ne pas avoir effectué des vigilances renforcées notamment en présence d’opérations qui auraient dû donner lieu à ces vigilances en raison de leur montant.
Il est reproché à CNP Assurance de s’être reposée sur les diligences effectuées dans cette matière par ses distributeurs bancaires. Or cela ne l’exemptait pas de réaliser les mesures de vigilance renforcée.
5. Sur les défauts d’examen renforcé
Selon le grief 9, 6 dossiers présentent un défaut d’examen renforcé. En effet, il est reproché à CNP Assurances de ne pas avoir effectué d’examen renforcé, notamment en présence d’opérations qui auraient dû donner lieu à cet examen renforcé en raison de leur complexité et de leur montant inhabituellement élevé.
III. Sur le respect des obligations déclaratives
1. Sur les défauts de déclaration de soupçon
Selon le grief 10, un défaut de déclaration de soupçon est reproché au titre des opérations réalisées dans une dizaine de dossiers.
2. Sur la qualité des déclarations de soupçon
Selon le grief 11, sur 42 DS effectuées par CNP Assurances dans le périmètre « vie » en 2014, 12 ne mentionnaient ni l’objet ni la nature de la relation d’affaires, 30 ne mentionnaient pas les éléments d’information et de connaissance de la clientèle recueillis par CNP Assurances, notamment sur le patrimoine et les revenus, même lorsque l’information figurait dans le dossier. En outre, CNP Assurances demandait à Tracfin de se rapprocher de ses partenaires bancaires distributeurs pour obtenir les compléments d’information nécessaires, alors qu’il lui appartenait de fournir dans ses DS toutes les informations utiles à cet organisme.
3. Sur les déclarations de soupçon tardives
Selon le grief 12, sur les 42 DS effectuées dans le périmètre « vie » en 2014, 22 ont été effectuées dans un délai moyen de 6 mois après l’exécution de l’opération suspecte déclarée par l’organisme d’assurance.
Également, dans 5 dossiers, la déclaration à Tracfin a été transmise plus d’un an après l’exécution de l’opération suspecte.
IV. Sur le non-respect de l’obligation de détection des opérations au bénéfice d’une personne ou d’une entité faisant l’objet d’une mesure de gel des avoirs
Selon le grief 13, le dispositif de CNP Assurances ne lui permettait pas, d’une part, de détecter sans délai toutes les opérations au profit des personnes dont les avoirs font l’objet d’une mesure restrictive, puisqu’aucun contrôle n’était effectué avant remboursement de BCP sous le régime de l’anonymat fiscal via le compte de passage du distributeur, permettant ainsi un paiement en espèces ; d’autre part, ce dispositif ne permettait pas non plus de détecter sans délai les fonds détenus sur un contrat d’assurance sur la vie par un client dont les avoirs sont gelés.
Il est reproché à CNP Assurances d’avoir mis en place un paramétrage trop restrictif de son outil de filtrage des personnes faisant l’objet d’une mesure de gel des avoirs. En effet, le paramétrage ne permettait pas de prendre en compte les variations orthographiques (paramétrage à 100 % ou 95 % de concordance).
Il est reproché à CNP Assurances d’avoir effectué, jusqu’en 2015, un filtrage uniquement annuel et non par opération.
V. Sur la transmission de renseignements erronés à l’ACPR
Selon le grief 14, CNP Assurances a répondu de manière erronée aux questions formulées dans le tableau « BLANCHIMENT » au titre de l’année 2014 en déclarant à tort :
– avoir mis en œuvre de mesures de vigilance complémentaires à l’égard de ses clients résident dans un ETNC ou appartenant à la catégorie des PPE ;
– que son dispositif lui permettait d’identifier les fonds, instruments financiers ou ressources économiques d’un client faisant l’objet d’une mesure de gel des avoirs et de mettre immédiatement en œuvre cette mesure ;
– qu’elle mettait en œuvre des contrôles pour s’assurer du respect par ses mandataires des obligations de vigilance.
