En ce mois de mai 2023, c’est au tour d’un organisme de financement automobile d’être alpagué par l’ACPR.
Résultat ? ½ million d’euros d’amende et un blâme. Sans parler du plan de remédiation estimé à environ 4 millions d’euros dont la moitié pour des développements/outils.
Quelque peu nouveau dans ce genre de sanctions, l’un des reproches porte sur le contrôle exercé par l’assujetti vis-à-vis de son prestataire externalisé.
Retrouvez des précisions sur cette sanction, notamment concernant les griefs de la LCB-FT.
Contrôle interne de la prestation externalisée
L’ACPR réprimande l’assujetti d’avoir fait une totale confiance à ses prestataires pour les outils et/ou le traitement des alertes de premier niveau.
Outre un manque de formalisme pour encadrer les prestations, ce sont surtout des reports imprécis, voire l’incapacité de présenter des justificatifs sur certains traitements que l’Autorité de Tutelle a pointé du doigt. On comprend même à la lecture des griefs, que les détections « Gels des Avoirs / Sanctions » et « Personnes Politiquement Exposées » n’étaient pas effectuées par le même dispositif.
Enfin, l’ACPR rappelle que la Responsabilité incombe à l’assujetti et non au prestataire.
Avis APS :
Afin de se faciliter la vie, les assujettis doivent s’orienter vers des outils agiles et performants ayant la capacité de traiter de très forts volumes de données afin de pouvoir détecter tous types d’alertes. Sanctions, Gels des Avoirs, PPE, Risques réputationnels, Risques Pays, Embargos… doivent pouvoir être traités dans un seul et même outil central.
Cet outil doit également permettre une traçabilité exhaustive et explicabilité totale. Que ce soient des actions effectuées par la machine (comme la réduction automatique de faux-positifs) ou des actions utilisateurs (décision, commentaires, pièces-justificatives…), l’assujetti, notamment en cas de contrôle, doit pouvoir obtenir ces données facilement notamment dans un large panel de Reports. L’outil doit permettre une granularité très fine sur les données qu’elle peut retourner, aussi bien quantitativement que qualitativement.
De plus, la trace d’Audit doit être non-altérable, ainsi les Autorités de Tutelle n’ont aucun doute sur la véracité des informations qui leur sont transmises.
Également, si les équipes du prestataire ont une expérience historique et sont rôdées aux différentes attentes des Auditeurs, alors ce ne peut être que du bonus !
Moyens humains
Alors que cet assujetti avait plus de 120 000 contrats à suivre, l’équipe n’était constituée que de 2 salariés. Equipe que l’assujetti a fait croitre jusqu’à 5 personnes.
L’ACPR a jugé cela insuffisant ne permettant pas, entre autres, les actions suivantes de manière correcte :
- Valider les Entrées en Relations, notamment lors d’un risque plus élevé que la normale
- Identifier des Risques LCB-FT durant la relation commerciale
- Traiter dans des délais acceptables les suspicions de Personnes Exposées Politiquement, mais aussi de personnes sous Sanctions / Gels des Avoirs !
Avis APS :
Le sous-staffing des équipes Conformité peut causer :
- Des délais de traitement trop longs
- Des alertes non-traitées trop nombreuses
- Des alertes revues trop vite et mal jugées
- …
C’est pour cela qu’il est important d’avoir un outil ayant une intelligence augmentée et un moteur de réduction performant (et totalement explicable). De même, l’outil doit être capable d’agréger un grand nombre de données afin de pouvoir les restituer en un seul et même endroit.
Ainsi, l’outil automatise certaines décisions pour soulager les opérateurs KYC/Conformité mais également fluidifier le parcours Client, surtout lors d’une Entrée en Relation.
Connaissance Client
La qualité et la quantité de données est un point crucial dans un dispositif LCB-FT. Lors de cet audit, l’ACPR s’est plus particulièrement attardée sur le traitement des Personnes Morales et leurs Bénéficiaires Effectifs.
L’ACPR indique que les assujettis peuvent s’appuyer sur des sites externes (y compris officiels), mais qu’ils ont tout de même l’obligation de récolter eux-mêmes les informations et justificatifs lors du KYC.
Avis APS :
Les entreprises assujetties peuvent donc utiliser un outil de détection leur permettant d’enrichir les données clients en récupérant et vérifiant les Bénéficiaires Effectifs et/ou les Représentants des personnes morales
Cependant, l’outil doit également leur permettre d’ajouter des pièces-justificatives et même de créer des relations inter-fiches pour avoir une véritable vue d’ensemble.
Ainsi, les professionnels assujettis peuvent également remarquer des écarts entre les Registres Officiels et le déclaratif et/ou leurs propres connaissances du Tiers.
Actualisation de la connaissance de la clientèle
L’ ACPR indique qu’aucune fréquence de mise-à-jour n’était définie pour les Clients dont le niveau de risque était standard/faible. Pour les autres, si une demande de mise-à-jour restait infructueuse cela n’avait aucune incidence sur les process vis-à-vis de ce Client…
Avis APS :
Outre la mise à jour quotidienne des listes de personnes sensibles, la mise à jour régulière des fiches client permet une meilleure qualité de données et donc une meilleure détection des personnes sensibles.
Les outils de LCB-FT doivent filtrer et analyser quotidiennement l’ensemble de votre portefeuille clients (à noter que cela était fait par l’assujetti sanctionné). Ce screening automatisé ne doit alors faire ressortir que les nouvelles alertes ou alertes ayant subi un changement majeur. Dans un souci de productivité, les alertes précédemment décidées n’ayant pas subi de changement majeur ne doivent pas être resoumises à la décision d’un opérateur/analyste LCB-FT.
D’autre part, l’outil utilisé doit être capable (en fonction d’une décision, niveau de risque…) de vous signifier quelles actions, pièces-justificatives sont attendues pour avoir un excellent suivi des relations commerciales.
Détection des PPE
La sanction de février 2023 commence à faire jurisprudence… Un organisme assujetti ne peut tout reposer sur un outil externe, il doit pouvoir être en mesure de vérifier son efficacité (voir ci-dessus le chapitre Contrôle interne de la prestation externalisée).
Avis APS :
Il est indispensable d’effectuer des recherches avec approximation orthographique. En général, le seuil de tolérance pour les Sanctions et Gel des Avoirs reste bas, ce qui a pour conséquence d’augmenter le nombre d’alertes. Concernant les Personnes Exposées Politiquement, leurs proches (RCA) et/ou les Personnes sous mauvaise réputation (Adverse Media), les seuils peuvent être augmentés (cependant sans arriver au « strict matching » ou simili) afin de limiter le nombre d’alertes.
Pour rappel, en matière de LCB-FT, les professions assujetties ont des obligations de résultats concernant la détection des personnes sous sanction et/ou gels des avoirs. Alors qu’elles ont des obligations de moyen concernant la détection des PEP, RCA, AME… L’outil de détection utilisé doit donc être capable d’utiliser des listes provenant de fournisseurs privés, mais également des listes internes.
Il est également indispensable qu’un outil de criblage soit paramétrable et prenne en compte précisément tous les critères internes de Conformité. On remarque que les Autorité de Tutelle sont intraitables sur les éventuelles incohérences constatées entre la politique conformité théorique et la configuration de ses outils LCB-FT. D’ailleurs, ce paramétrage doit facilement être exportable pour pouvoir présenter et expliquer, à tout moment, à un auditeur, le fonctionnement du dispositif.
Traitement des suspicions Sanctions / Gels des Avoirs
L’ ACPR félicite le professionnel assujetti de cribler quotidiennement son portefeuille Clients contre les listes Sanctions / Gels des Avoirs. Pourtant, cet effort est vain puisque lorsqu’une alerte est générée, elle est traitée plusieurs jours, voire même plusieurs semaines après ! Alors que les Autorités attendent un traitement dans les 24H…
Avis APS :
Pour rappel, en matière de LCB-FT, les professions assujetties ont des obligations de résultats concernant la détection des personnes sous sanction et/ou gels des avoirs. Alors qu’elles ont des obligations de moyen concernant la détection des PEP, RCA, AME, … Dans une optique de productivité et gain de temps, l’outil de criblage doit être en mesure de vous avertir instantanément (par exemple par email) qu’une suspicion de Sanction / Gel des Avoirs a été générée.