En cette année 2024, la Commission des sanctions de l’Autorité de contrôle prudentiel et de résolution (ACPR) est à l’origine de peu de décisions. On se souvient ainsi que, le 9 avril dernier, l’établissement de monnaie électronique Treezor avait été sanctionné d’un blâme et d’une sanction pécuniaire d’un million d’euros1.
Or, une seconde décision vient d’être rendue par la Commission des sanctions, à l’encontre cette fois-ci d’un établissement de crédit (la BRED, groupe BPCE). Celui-ci se voit infliger un blâme et une sanction pécuniaire de 2,5 millions d’euros pour différents manquements liés à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
Le dispositif de surveillance des opérations de la BRED présentait en effet, au moment du contrôle, « plusieurs défaillances significatives », même si la décision a écarté certains reproches initiaux (une partie du grief 1 et tout le grief 2). La Commission des sanctions a en fait retenu des défauts en matière de vigilance renforcée (grief 3) et de déclaration de soupçon (grief 4).
Exclusion du grief intéressant
la connaissance de la clientèle
La décision est surtout intéressante pour le grief 2, qui est écarté. Il est bien connu qu’en vertu de l’article L. 561-5-1 du Code monétaire et financier : « Avant d’entrer en relation d’affaires, les personnes mentionnées à l’article L. 561-2 recueillent les informations relatives à l’objet et à la nature de cette relation et tout autre élément, surtout d’information, pertinent. Elles actualisent ces informations pendant toute la durée de la relation d’affaires [...] ». Cette obligation est précisée par l’article R. 561-12 du même code (pt 23).
En l’occurrence, il était reproché à la BRED, par le grief 2, de n’avoir pas eu recours, lors de l’entrée en relation d’affaires ou en cours de relation d’affaires, à un outil automatisé de filtrage des informations négatives publiques susceptibles d’affecter le profil de risque de ses clients (watchlist), notamment des informations relatives à des condamnations pour des faits en lien avec des actes terroristes (pt 24).
La Commission des sanctions considère qu’une telle interprétation des dispositions précitées repose sur l’idée que, pour un organisme de la taille de la BRED, le recours à un dispositif automatisé de filtrage des informations négatives est seul à même de garantir une connaissance adéquate des relations d’affaires et, par suite, la détermination d’un profil de risque réaliste pour chaque client, indispensable à l’efficacité d’un dispositif de LCB-FT. Or, pour la banque mise en cause, une telle interprétation des textes applicable est impossible « dès lors que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et la loi n °78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi CNIL) font obstacle à ce qu’un organisme assujetti utilise une watchlist ».
La Commission commence alors par constater que cette question n’a, à ce jour, été tranchée par aucune décision juridictionnelle (pt 25). Ensuite, elle déclare que les watchlists constituent des traitements de données à caractère personnel, à la fois pour l’éditeur qui les réalise et, le cas échéant, les commercialise, et pour l’organisme qui y a recours.
Surtout, elle souligne que ces même watchlists ont vocation à recueillir aussi des données à caractère personnel relatives aux condamnations pénales et aux infractions, au sens de l’article 10 du RGPD et de l’article 46 de la loi CNIL. La Commission constate alors qu’il y avait là, au moment du contrôle, une difficulté particulière, dès lors que l’article 10 du RGPD prévoit que le traitement de telles données ne peut être effectué que « sous le contrôle de l’autorité publique » et que l’article 46 de la loi CNIL ne l’autorise que dans certains cas, limitativement énumérés.
Il est encore noté que les lignes directrices conjointes de l’ACPR et de Tracfin du 17 décembre 2018 sur les obligations de déclaration et d’information à Tracfin mais aussi les orientations de l’ABE sur les facteurs de risque publiées le 1er mars 2021 sont ici sans incidence. Il en va de même pour les stipulations de la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement des données à caractère personnel.
Pour terminer, la Commission pointe le règlement du 15 mai 2024 du Parlement européen et du Conseil relatif à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, dont l’article 76 autorise effectivement les entités assujetties à traiter (sous certaines conditions précisées) les catégories particulières de données à caractère personnel ainsi que les données personnelles relatives aux condamnations et aux infractions. Tout juste adopté, il ne saurait, ici, fonder quoi que ce soit.
Finalement, la Commission des sanctions du superviseur estime que l’article L. 561-5-1 du code ne peut pas être interprété comme créant une obligation claire et prévisible de recourir à un outil de filtrage automatisé des informations négatives publiques susceptibles d’affecter le profil de risque de leurs clients, notamment des informations relatives à des condamnations pour des faits en lien avec des actes terroristes, ni de sanctionner un manquement à une telle obligation (pt 25).
Caractérisation du grief
Selon le grief 4, fondé sur l’article L. 561-15 du Code monétaire et financier, sur les 73 dossiers examinés par la mission de contrôle, 24 présentaient un défaut de déclaration de soupçon initiale et 6 un défaut de déclaration de soupçon complémentaire (pt 35). Finalement, ce grief est jugé fondé pour 25 dossiers (pt 58).
Deux précisions notables sont alors données, ici, par la Commission des sanctions. D’une part, un organisme assujetti manque à son obligation de déclaration « si l’examen de la relation d’affaires qu’il doit effectuer quand il reçoit une réquisition judiciaire ou un droit de communication de Tracfin qui la concerne révèle des opérations suspectes qui ne sont pas identiques à celles que mentionnent ces documents, soit parce que leur objet est différent, soit parce qu’elles se sont poursuivies au-delà de la période visée par ceux-ci ». Il en va de même, d’autre part, si « au moment où il reçoit une réquisition judiciaire ou un droit de communication de Tracfin, il s’est abstenu de procéder à une DS [déclaration de soupçon] alors qu’il y était déjà tenu en vertu » du droit applicable (pt 37).
Il est donc recommandé aux établissements assujettis aux règles liées à la LCB-FT de se mettre rapidement en conformité avec ces deux précisions de bon sens. n
