Sanction de l’ACPR : troisième condamnation d’un établissement de crédit en 2024

En cette année 2024, la Commission des sanctions de l’Autorité de contrôle prudentiel et de résolution (ACPR) a rendu peu de décisions. Trois seulement ! Le 9 avril dernier, l’établissement de monnaie électronique Treezor a été sanctionné d’un blâme et d’une sanction pécuniaire d’un million d’euros¹. Deux mois et demi plus tard, le 27 juin, cela fut au tour de l’établissement de crédit BRED, sanctionné d’un blâme et d’une sanction pécuniaire de 2,5 millions d’euros². Le troisième condamné est à nouveau un établissement de crédit, la Tunisian Foreign Bank (TFB). Contrairement aux décisions le plus souvent rendues par le superviseur, cette sanction du 9 octobre 2024 ne vise pas des manquements liés à la LCB-FT, au gel des avoirs ou à la tarification bancaire. En cela, elle est originale.

Rappel des faits rapportés : au moment du contrôle sur place, le dispositif de contrôle permanent de la TFB présentait de graves carences (grief 1), l’audit ne disposait pas de moyens suffisants pour mener à bien les investigations qu’il aurait dû conduire (grief 2), le suivi des recommandations du contrôle permanent et du contrôle périodique était défaillant (grief 3) et le contrôle des prestations essentielles externalisées (PSEE) était insuffisant (grief 4).

La Commission des sanctions juge ces manquements très sérieux. De surcroît, il apparaît qu’ils sont en réalité anciens. En effet, des carences analogues avaient déjà été relevées par un contrôle sur place diligenté par l’ACPR entre le 3 octobre 2011 et le 6 janvier 2012. Par une décision du 1^er mars 2013, la Commission des sanctions de l’ACPR avait d’ailleurs prononcé un blâme et une sanction pécuniaire de 700 000 euros contre le même établissement de crédit (ACPR comm. sanction, n° 2012-06, 1^er mars 2013, Tunisian Foreign Bank). Certes, les nouveaux dirigeants d’alors avaient fait état d’une « reprise en main » et de leur décision de mettre en œuvre « une série de mesures de régularisation sur l’organisation du contrôle interne ». Las, par sa décision du 9 octobre 2024, la Commission des sanctions constate que rien n’a été fait jusqu’au nouveau contrôle sur place.

La procédure a en outre mis en évidence d’autres manquements importants. Elle a ainsi retenu des carences dans la mesure et la gestion des risques (grief 5), l’absence de définition d’un cadre d’appétence aux risques (grief 6), l’absence de processus formalisé de revue régulière des dossiers de crédit (grief 7), l’absence de politique de rémunération appropriée (grief 8) et l’absence de procédure pour le calcul du ratio de solvabilité (grief 9).

Aux termes de l’article L. 511-55 du Code monétaire et financier, « les établissements de crédit et les sociétés de financement se dotent d’un dispositif de gouvernance solide comprenant notamment une organisation claire assurant un partage des responsabilités bien défini, transparent et cohérent, des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels ils sont ou pourraient être exposés, d’un dispositif adéquat de contrôle interne, de procédures administratives et comptables saines, de politiques et pratiques de rémunération (...) ». Ces exigences sont précisées par plusieurs dispositions de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque.

Or, en l’occurrence, il était notamment relevé par la partie poursuivante qu’aucune politique ni procédure ne régissait chez TFB, au moment du contrôle, le suivi des recommandations émises par le contrôle permanent et par le contrôle périodique. Plus précisément, sur un plan opérationnel, la faible automatisation des outils conduisait à ce que les recommandations soient formulées sur de nombreux supports papier et tableurs Excel sans être archivés dans un dossier dématérialisé. De même, il n’existait pas de tableau de suivi synthétique, exhaustif et transversal des recommandations émises par le contrôle permanent de deuxième niveau permettant d’assurer un suivi approprié des plans d’action arrêtés pour corriger les anomalies dans des délais raisonnables. Les recommandations du contrôle permanent de deuxième niveau ne prévoyaient pas non plus de délai de remédiation. À la clef : une récurrence des anomalies identifiées. Enfin, dans le cadre du contrôle périodique, des dépassements récurrents des délais de mise en œuvre de certaines actions correctives ont été identifiés par la mission de contrôle depuis début 2020.

Pour sa part, la banque ne contestait pas l’absence, au moment du contrôle, de formalisation du suivi des recommandations du contrôle interne. Elle se bornait à présenter des mesures de remédiation et à indiquer qu’elle avait désormais recours à un outil spécifique. Si elle soutenait que les dispositions applicables n’imposaient pas la mise en place de moyens automatisés de suivi des recommandations ni d’un tableau de suivi synthétique, exhaustif et transversal des recommandations, la banque n’apportait en tout état de cause aucun élément de nature à contredire le constat d’une absence de dispositif de suivi efficace des recommandations « dans des conditions optimales de sécurité, de fiabilité et d’exhaustivité ».

Enfin, pour la Commission des sanctions, s’il est vrai que les dispositions de l’article 26 de l’arrêté du 3 novembre 2014 exigent seulement des « délais raisonnables », les délais relevés par la mission de contrôle pour la mise en œuvre des recommandations du contrôle interne étaient en l’espèce très importants, y compris pour des recommandations dont la priorité avait été regardée comme élevée par la TFB elle-même. Le manquement était donc avéré. En conséquence, l’établissement de crédit se voit infliger un blâme et une sanction pécuniaire de 1,7 million d’euros. La décision est également publiée au registre de l’ACPR.