Sanction LCB-FT : 2,5M€ d’amende
L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a infligé sa deuxième sanction de l’année en raison de graves défaillances affectant de manière significative plusieurs éléments cruciaux du dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT).
La BRED est une banque coopérative et la plus grande Banque Populaire. Outre, un risque réputationnel avec cette sanction nominative, elle écope d’une amende pécuniaire e 2,5M d’euros…
Voyons plus en détails les reproches contre la BRED :
Paramétrage de l’outil automatisé de surveillance inefficace
Le paramétrage reproché par l’ACPR permettait, par exemple, d’exempter (partiellement ou totalement) certains clients du système de surveillance.
L’ACPR s’appuie sur une décision de 2015 pour rappeler que la surveillance doit couvrir la totalité des activités et des opérations de l’ensemble de la clientèle.
L’ensemble des données doit également être pris en compte pour permettre l’établissement de règles et/ou seuils pertinents qu’il faut savoir adapter en fonction du contexte.
D’autre part, le mauvais paramétrage d’un critère peut être considéré, par l’ACPR, comme une défaillance du système de détection !
Avis APS
Il est indispensable qu’un outil de profilage/surveillance permette un paramétrage dynamique permettant de prendre en compte et croiser différentes données, provenant de différentes sources. Cet outil doit aussi être en mesure d’intégrer, agréger et traiter une gigantesque quantité de données en temps-réel.
Il est indispensable que les outils LCB-FT soient paramétrables et prennent en compte précisément tous les critères internes de Conformité. On remarque que l’ACPR est intraitable sur les éventuelles incohérences constatées entre la politique conformité théorique et la configuration de ses outils LCB-FT.
Ce paramétrage doit également permettre d’automatiser certaines décisions afin de fluidifier les parcours clients (digitalisés) et les parcours KYC, ce qui offre :
- Productivité
- Sécurité
- Cohérence
Pour s’assurer de la bonne configuration implémentée, celle-ci doit être facilement exportable afin d’être examinée par l’audit interne ou le contrôle permanent.
Mise-à-jour des données clients/tiers insuffisante
Comme de nombreuses autres sanctions de l’ACPR, celle-ci pointe le niveau et la qualité insuffisants de la connaissance client, marqués notamment par des informations trop vagues, imprécises ou non pertinentes qui empêchent un profilage client et une classification des risques efficaces.
Or, un dispositif de surveillance des opérations et/ou de la clientèle/tiers ne peut être efficace, conformément à ce qu’exige la réglementation, que s’il utilise des éléments d’information exacts sur les clients.
Les organismes assujettis sont tenus de recueillir, avant le début et pendant toute la durée de la relation d’affaires, des éléments de connaissance pertinents sur leurs clients, qui leur permettent d’évaluer le profil de risque de chaque relation d’affaires et de mettre en œuvre des mesures appropriées de surveillance de ses opérations. À cette fin, ils doivent, sans être soumis sur ce point à une obligation de résultat, accomplir des diligences suffisantes pour recueillir les informations négatives à leur sujet que mentionnent notamment des médias ou des bases de données.
Avis APS
Les dispositifs LCB-FT mis en place doivent offrir une interface utilisateur permettant aux opérateurs d’être productifs grâce à une UX optimisée, mais aussi en centralisant toutes les informations nécessaires à la prise de décisions.
L’outil doit être capable d’intégrer, d’offrir un référentiel d’arguments lors d’une décision, la possibilité d’ajouter des commentaires, mais aussi des pièces-jointes.
Le tout dans un souci de traçabilité et explicabilités totales.
Manque de justification du traitement des alertes
Comme vu précédemment, l’ACPR est attentive au temps de traitement des alertes par les opérateurs LCB-FT. Cependant, traiter rapidement ne signifie ni précipitation, ni bâcler l’argumentation de chacune des décisions.
L’ACPR montre dans cette sanction que la complétude des diligence effectuées par les assujettis est au cœur de ses préoccupations et une étape obligatoire lors de ses contrôles.
Avis APS
Outre la mise à jour quotidienne des listes de personnes sensibles, la mise à jour régulière des fiches client permet une meilleure qualité de données et donc une meilleure détection des personnes sensibles et surveillance globale.
Les outils de LCB-FT doivent filtrer et analyser en temps-réel l’ensemble de votre portefeuille clients. Ce screening automatisé ne doit alors faire ressortir que les nouvelles alertes ou alertes ayant subi un changement majeur. Dans un souci de productivité, les alertes précédemment décidées n’ayant pas subi de changement majeur ne doivent pas être resoumises à la décision d’un opérateur/analyste LCB-FT.