Panorama des sanctions ACPR de l'année 2021 : Perspectives pour les années futures

Panorama des sanctions ACPR de l'année 2021 : Perspectives pour les années futures

L'année 2021 aura été l'une des années où la Commission des sanctions de l'ACPR aura été la plus active. En effet, 12 sanctions ont été publiées, contre 2 en 2020, 9 en 2019 et 10 en 2018. Ceci s’inscrit dans la tendance constatée depuis plusieurs années de durcissement de l’ACPR, et plus généralement des autorités françaises, en matière de surveillance et sanction des établissements financiers. Les griefs liés à la LCB-FT restent très majoritaires et concernent 10 sanctions sur les 12 publiées. Une analyse plus précise de ces griefs, qui portent sur les 7 thèmes principaux de la LCB-FT (cartographie, KYC, détection des opérations atypiques, gel des avoirs, déclaration TRACFIN, contrôle interne, gouvernance), est détaillée plus loin dans le document.

Tous les types d'établissements sont concernés par les sanctions : les classiques établissements de crédit, mais également des établissements de paiement, des assureurs, ainsi que des établissements de monnaie électronique et de financement participatif.

Aucun acteur du secteur des crypto-actifs n'a fait l'objet de sanction publiée à ce jour. Le sujet de la crypto est abordé dans quelques griefs, sous l'angle de la prise en compte de ces acteurs dans les processus nouveaux produits / nouvelles activités ou sous l'angle des opérations atypiques qui selon l’ACPR auraient dû faire l'objet d'examen renforcé de la part des établissements. Compte tenu des évolutions réglementaires et de l’importance croissante de ces activités dans l’économie, il est évident que ce secteur sera soumis à des contrôles dans les prochaines années.

En 2020 et 2021, le cadre réglementaire de la sécurité financière a connu des évolutions : Finalisation de la transposition de la 5ème Directive Européenne dans le Code Monétaire et Financier, arrêtés du 6 janvier et du 25 février 2021. L’implémentation de ces nouvelles exigences par les établissements bancaires sera au cœur des prochaines missions de l’ACPR.

En matière d’outils supports du dispositif, tant dans sa mise en œuvre que dans son contrôle, la digitalisation et le recours à l’intelligence à l’artificielle deviennent incontournables. Lors de la conférence ACPR de novembre 2021, le recours à l’intelligence artificielle pour les missions de contrôle sur site, via le nouveau moteur développé conjointement par l’ACPR et la Banque de France : LUCIA (Logiciel à l’Usage du Contrôle assisté par l’Intelligence Artificielle), a ainsi été annoncé. L’ACPR encourage également fortement les établissements bancaires à utiliser ces technologies : « A terme, un dispositif LCB-FT ne saurait être vraiment pertinent (c’est-à-dire discriminant) sans recours à l’IA ».

Analyse détaillée des griefs de l’ACPR pour les sanctions publiées en 2021.

  • Cartographie et classification des risques

La cartographie et la classification des risques sont la base du dispositif sécurité financière, dont découlent toutes les étapes suivantes (KYC, scenario AML, déclaration TRACFIN). Ont été reprochées à de nombreux établissements des cartographies et classification des risques qui ne tenaient pas compte des préconisations de TRACFIN, de l’ACPR ou du GAFI concernant le classement en risque élevé de certaines activités / secteurs / pays / typologie de clientèle. Le défaut de mise à jour de la documentation, pour prendre en compte le développement de nouveaux produits / nouvelles activités a également été relevé.

  • Entrée en relation / KYC

L’entrée en relation, avec l’établissement du KYC, est le moment où l’établissement doit collecter les informations qui lui permettront ensuite de répondre correctement à ses exigences réglementaires en matière de conformité. L’ACPR a sanctionné des établissements pour des défaillances en matière de connaissance de la relation d’affaire : situation patrimoniale, objet de la relation, bénéficiaires effectifs, incluant la collecte des justificatifs. A ce titre, un focus particulier semble avoir été fait sur l’identification des PPE et la réalisation des diligences complémentaires. Des insuffisances dans la mise en œuvre du scoring client, qui doit traduire l’approche par les risques, ont également été relevées : seuils trop élevés, critères inadaptés.

  • Dispositif de détection des opérations atypiques / scenario AML

Le dispositif de détection des opérations, qui s’appuie sur des scénario AML qui doivent eux même être établis à partir de la classification des risques, a fait l’objet de nombreux griefs de l’ACPR. L’ACPR a sanctionné des établissements dont les scenario ne reprenaient pas la classifications des risques (risques identifiés mais non détectés), ou qui plus généralement ne détectaient pas des opérations à risque (par exemple : correspondance bancaire), ou avec des seuils trop élevés. Le délai de traitement des alertes est également un grief fréquent.

  • Dispositif de gel des avoirs

Les griefs de l’ACPR sur le dispositif de gel des avoirs des établissements ont concerné la qualité du filtrage : filtrage en exact match qui ne permet pas de détecter les variations orthographiques, filtrage sur le nom de naissance ou le nom d’usage uniquement ; la fréquence de filtrage insuffisante (hebdomadaire, mensuelle, voire uniquement à l’entrée en relation) ; la mise à jour tardive des outils de filtrage par rapport aux listes réglementaires ; des erreurs opérationnelles (souvent liée à la multiplicité d’opérations manuelles) conduisant à des absences de filtrage sur des durées diverses. A noter que les obligations des établissements en matière d’identification sans délai des relations d’affaire faisant l’objet de mesure de gel, et de remontée à la DG Trésor ont été renforcées en novembre 2020 (mise à jour des articles L562 du Code Monétaire et Financier) et par l’arrêté du 6 janvier 2021.

  • Déclarations TRACFIN

La déclaration TRACFIN est la traduction concrète de l’efficacité de l’ensemble du dispositif. La totalité des établissements a logiquement été sanctionnée par rapport à des défaillances constatées dans ce dispositif. Conséquence concrète de dysfonctionnements dans les étapes précédentes, la formulation des griefs portent principalement sur la complétude du dispositif, il est reproché aux établissements de ne pas avoir identifié des opérations / comportements, qui auraient dû faire l’objet de déclaration. Les délais, avec des déclarations réalisées trop tardivement, et la qualité des déclarations, avec des données incomplètes, qui ne reprennent pas tous les éléments qui auraient dû être communiqués, sont également des griefs fréquents.

  • Contrôle permanent et périodique

Des défaillances dans le contrôle du dispositif global de la sécurité financière ont été soulignées dans plusieurs établissements. Les contrôles avaient une fréquence insuffisante et un périmètre trop restreint, en ne considérant par exemple pas l’ensemble des filiales et succursales des établissements. Le cadre réglementaire des griefs de l’ACPR reposait sur les dispositions de l’arrêté du 3 novembre 2014. Ces dispositions ont été revues et renforcées par l’arrêté du 25 février 2021. Les établissements bancaires sont tenus de mettre en place un dispositif de contrôle interne spécifique aux sujets de sécurité financière et au gel des avoirs.

  • Gouvernance

Parmi les griefs relevés en matière de gouvernance figurent de défaut d’information des organes dirigeants en cas d’incident significatif, les insuffisances de formation des collaborateurs et dirigeants, et l’absence de dispositif nouveau produit / nouvelle activité.

A propos d’Akium
Akium est un cabinet de conseil indépendant en organisation et management, avec une approche de transformation des entreprises combinant 3 dimensions : métier, réglementaire et technologique. Centrés sur les secteurs de la Banque et de l’assurance & protection sociale, Akium se développe autour de 4 grandes offres : transformation métier, efficacité opérationnelle, transformation digitale et Business solution
Copyright© 2022 Akium. All rights reserved.