Parmi les décisions rendues par la Commission des sanctions de l’Autorité de contrôle prudentiel et de résolution (ACPR, voir graphique), celle du 12 décembre 2023, n’est que la 6e décision de condamnation. Ce chiffre témoigne du fait que le superviseur des banques et des assurances prononce rarement des sanctions.
En l’espèce, la société concernée (la société X.) était un établissement de monnaie électronique1, fournissant notamment des services de paiement. Elle avait conclu des conventions avec des entreprises souhaitant participer à̀ la fourniture de services de paiement sous le statut d’agent de prestataire de services de paiement (APSP). Tel avait été le cas de la société A.
La Commission des sanctions constate différents manquements de la part de la société X. concernant sa relation avec la société A. mais aussi en matière de protection des clients et de lutte contre le blanchiment d’argent et le financement du terrorisme. Elle lui inflige alors un blâme et sanction pécuniaire de 100 000 euros.
Mise en œuvre prématurée
du partenariat avec l’agent
Il résulte de l’article L. 523-1, II, du Code monétaire et financier que les prestataires de services de paiement doivent faire enregistrer auprès de l’ACPR les agents auxquels ils entendent recourir.
Il apparaissait que la société X. avait ouvert des comptes de paiement auprès du public pour des clients de la société A. et fait transiter par ces comptes des volumes d’opérations significatifs dès le mois de juillet 2020, alors qu’elle n’avait déposé auprès de l’ACPR une demande d’enregistrement de la société en tant qu’agent de prestataire de services de paiement (APSP) que le 17 août 2020.
La société X. avait donc commencé à utiliser la société A. comme agent à une période où cette dernière n’était pas encore enregistrée auprès de l’ACPR. Le reproche est jugé fondé par la Commission des sanctions.
À cette occasion, cette dernière donne des précisions utiles. D’abord, elle indique que la circonstance que des comptes soient restés inactifs pendant la période en cause est sans incidence sur le fait que la société X. avait commencé à mettre en œuvre le partenariat qui faisait de la société A. son agent avant l’enregistrement de celle-ci auprès de l’ACPR. Ensuite, il n’y a pas lieu de « relativiser » le grief au motif que certains comptes avaient été ouverts au bénéfice d’employés de la société A. ou de la société B., dès lors que ceux-ci devaient être regardés comme des clients comme les autres.
La Commission des sanctions considère que le manquement en question est grave. En effet, le législateur n’a autorisé les prestataires de services de paiement à recourir à des agents qu’à la condition que ces mêmes agents soient enregistrés par l’ACPR avant tout début d’exécution des missions qui leur sont confiées, au vu d’un dossier précis permettant au superviseur de vérifier qu’ils remplissent les conditions nécessaires. Il y a donc là une garantie essentielle pour les clients, que la société X. ne pouvait négliger.
Absence de contrôle
des activités externalisées
En vertu de l’article L. 523-3 du Code monétaire et financier, le prestataire de services de paiement mandant demeure pleinement responsable vis-à-vis des tiers des actes de tout agent qu’il a mandaté. Il doit alors s’assurer que ses agents se conforment en permanence aux dispositions législatives et réglementaires qui leur sont applicables et les soumet à son dispositif de contrôle interne, y compris à son dispositif de LCB-FT. L’article 234 de l’arrêté du 3 novembre 2014 précise ces exigences.
Or le dispositif de contrôle interne de la société X. dédié aux activités externalisées auprès de la société A. avait été défaillant dans son ensemble. Plus précisément, au motif que la demande d’enregistrement de la société A. était en cours de traitement par les services de l’ACPR, le contrôle de ces activités n’avait pas été mis en œuvre par la société X. entre juillet 2020 et août 2021, date à laquelle la quasi-totalité des comptes ouverts au nom d’utilisateurs de la plateforme de la société A. avaient été fermés.
À titre d’exemple, le partenariat entre les deux sociétés prévoyait à cet égard que la société A. devait établir et mettre en œuvre son propre dispositif de contrôle permanent de niveaux 1 et 2, tandis que la société X., en plus de la mise en place d’un contrôle périodique de son partenaire, se chargeait de la supervision des rapports de contrôle et devait intervenir en cas de manquement. Or, selon le rapport de contrôle, ce dispositif n’avait pas été mis en œuvre entre juillet 2020 et août 2021.
Clôture fautive des comptes
Selon l’article L. 314-13, V, du Code monétaire et financier, le prestataire de services de paiement peut résilier un contrat-cadre de services de paiement conclu pour une durée indéterminée, mais uniquement à condition de respecter un préavis d’au moins deux mois fourni sur support papier ou sur un autre support durable.
La société X. avait procédé à la clôture des comptes de paiement ouverts via la société A. sans préavis et sans en informer les clients sur support papier ou sur un autre support durable.
La Commission des sanctions donne des précisions notables. D’une part, la circonstance que, pour 34 % des clients, le compte avait été clôturé au moins deux mois après la décision de l’arrêt du partenariat avec la société A. était sans incidence. En effet, cela ne permettait pas de considérer que ces clients auraient bénéficié de la garantie attachée à un préavis de deux mois. D’autre part, était sans aucune incidence sur le bien-fondé du grief la circonstance que les comptes ouverts par l’intermédiaire de la plateforme de la société A. n’étaient, pour leurs détenteurs, que des comptes secondaires.
Transfert absusif des fondss
Il découle de l’article L. 133-6 du Code monétaire et financier que le payeur doit nécessairement donner une autorisation pour qu’une opération de paiement puisse être exécutée. L’article L. 133-7 précise que ce consentement doit être donné sous la forme convenue entre le payeur et son prestataire de services de paiement.
Ici, il était reproché à la société X. de ne pas avoir réalisé de diligences particulières pour s’assurer que les fonds figurant sur les comptes ouverts via la société A. avaient bien été transférés conformément à des ordres de paiement initiés par les titulaires de ces comptes. Ainsi, 124 des 196 comptes de paiement clôturés entre le 12 avril et le 29 juillet 2021 avaient été soldés et les fonds avaient été transférés vers des comptes dont l’identité des détenteurs n’avait pas été vérifiée.
Or la société X. ne fournissait aucun élément permettant de comprendre comment elle s’était assurée que ces mouvements étaient « autorisés », au sens des dispositions évoquées précédemment. Pour la Commission des sanctions, elle était donc, ici encore, en faute.
