Le pilotage consolidé du dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) des groupes bancaires et assurantiels : analyse transversale
Résumé : Un document très intéressant sur l'exercice de la surveillance consolidée du risque lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) par une maison mère sise en France sur le reste du groupe.
Il est désormais impératif que dans un groupe bancaire les normes LCB-FT applicables soient les mêmes et soient appliquées de la même façon par toutes les entités. Des arbitrages réglementaires ne sont plus possibles tout comme des situations particulières découlant de la survie de cultures/habitudes locales souvent dans des sociétés achetées.
Le rapport de l'ACPR examine des cas spécifiques suite à « cinq contrôles sur place de groupes bancaires et un contrôle sur place et trois analyses approfondies de groupes d’assurance ».
Deux points clefs pour les établissements sis en Suisse :
- les informations au sujet des clients doivent être librement accessibles à la maison mère; le secret bancaire ne peut lui être opposée (p. 13) ;
- le fait qu'un compte de client soit soumis à l'échange automatique de renseignements n'atténue pas les obligations LCB-FT (p. 8).
Ci-dessous les points principaux divisés par thèmes :
- la gouvernance du dispositif de LCB-FT mis en place dans les groupes ;
- le cadre procédural et normatif des groupes ;
- le pilotage du dispositif de LCB-FT par les fonctions centrales ;
- l’échange d’informations nécessaires à la vigilance ;
- le dispositif de contrôle interne.
La gouvernance du dispositif de LCB-FT mis en place dans les groupes
Il est attendu des entreprises-mères de groupes :
« - qu’elles (i) définissent une organisation efficace du dispositif de LCB-FT au niveau du groupe tenant compte de leur évaluation des risques et (ii) qu’elles désignent un responsable de la mise en oeuvre de ce dispositif occupant une position hiérarchique élevée au sein du groupe et possédant une connaissance suffisante de l’exposition au risque de blanchiment des capitaux et de financement du terrorisme du groupe ;
- que leur dirigeant et leur organe de surveillance assurent une implication dans le domaine de la LCB-FT leur permettant de remplir leurs obligations, notamment en ce qui concerne la mise en oeuvre de mesures correctrices ou en matière de contrôle interne ;
- qu’elles allouent des moyens suffisants tant humains que techniques pour assurer le pilotage central du dispositif LCB-FT et pour garantir la mise en œuvre des obligations de LCB-FT sur l’ensemble du groupe (p. 5).
p. 5 : participation d’un représentant du groupe aux décisions de nomination des responsables de la conformité (et/ou des dispositifs de LCB-FT) locaux, à la fixation de leurs objectifs, à l’établissement de leur évaluation et la détermination de leur rémunération variable.
La maison mère doit disposer d’indicateurs fiables susceptibles de leur donner une vue exhaustive et synthétique du fonctionnement du dispositif de LCB-FT et de son pilotage par les structures centrales .... À titre d’illustration, ces insuffisances ont porté sur le dispositif de LCB-FT de certaines activités pourtant jugées sensibles, l’absence de suivi de certains plans de remédiation majeurs ou bien le suivi des recommandations du contrôle périodique.
p. 6 : la nature des informations remontées à ces occasions était insuffisante, qu’il s’agisse d’indicateurs de mesure du risque ou bien de la remontée et du suivi des défaillances identifiées par le contrôle permanent. Les organes de surveillance n’avaient en outre pas été amenés à se prononcer sur des questions plus stratégiques telles que l’acquisition, la présence ou le maintien de portefeuille de clientèle ou d’implantations présentant des risques de BC-FT élevés (par exemple, la présence dans des pays tiers non équivalents).
Une architecture informatique intégrée permettant, dans une certaine mesure, de pallier la faiblesse des moyens humains susceptibles d’être mobilisés au niveau de la tête du groupe. »
Le cadre procédural et normatif des groupes
« Il est attendu des entreprises-mères de groupes :
- qu’elles élaborent une classification des risques de BC-FT qui tient compte de l’ensemble des risques auxquels le groupe est exposé, suivant les 5 axes prévus par la règlementation (nature des produits ou services offerts, conditions de transaction proposées, canaux de distribution utilisés, caractéristiques des clients, pays ou du territoire d'origine ou de destination des fonds) ;
- qu’elles s’assurent que les classifications des risques élaborées par les entités du groupe soient cohérentes avec celle définie à l’échelle du groupe, tout en tenant compte des risques spécifiques de chaque entité ; »
« De même les entreprises-mères de groupes doivent :
-définir, pour l’ensemble du groupe, des procédures portant notamment sur les mesures de vigilance à l’égard du client ;
- assurer la déclinaison de ces procédures au sein des entités du groupe situées dans un État membre de l’UE ou partie à l’accord sur l’EEE, en tenant compte des risques spécifiques auxquels celles-ci sont exposées ;
- appliquer dans leurs filiales et succursales situées dans des pays tiers des mesures équivalentes. Dans le cas où le droit local fait obstacle à la mise en oeuvre de ces mesures équivalentes, elles (i) analysent les obstacles ou les difficultés juridiques rencontrés, et en informent l’ACPR et Tracfin ; (ii) mettent en oeuvre des mesures de vigilance spécifiques adaptées aux obstacles rencontrés (p. 7).
p. 7 : les normes édictées par le groupe ont été jugées insuffisamment prescriptives sur des sujets tels que l’évaluation du profil de risque client, l’incidence du profil de risque sur la revue des dossiers de la clientèle ou la nature des informations à collecter lors de l’entrée en relation, aboutissant, sur des 40 thématiques pourtant fondamentales en matière de LCB-FT,
p. 8 : un dispositif de validation des normes locales par le groupe en vue de s’assurer qu’elles étaient conformes aux normes du groupe et ce, en amont de leur diffusion.
p. 8 : parmi les cas où il a été relevé que les implantations étrangères des groupes contrôlés mettaient en oeuvre des mesures de vigilance moins exigeantes que celles prévues par les textes français on citera notamment :
- la possibilité, dans des implantations étrangères, d’ouvrir un compte sans avoir préalablement obtenu les éléments d’identification du client ;
- des diligences moins exigeantes lors d’une entrée en relation à distance ou bien avec une 30 personne politiquement exposée (PPE) ;
- l’absence de collecte d’informations relatives au lieu de naissance ;
- l’absence d’identification des bénéficiaires effectifs ;
- l’absence de collecte de documents probants pour justifier une opération atypique ;
- des obstacles à la mise en oeuvre de l’échange d’informations intragroupe (cf. infra) ; 35
- la non prise en compte dans le dispositif d’identification et de mesure des risques de BC-FT du risque de fraude fiscale.
p. 8 : s’agissant du risque de fraude fiscale on soulignera que les groupes qui ne s’étaient pas assurés que leurs implantations étrangères prenaient en compte ce risque – dans la classification des risques ou l’évaluation du risque client – estimaient parfois avoir appréhendé cette problématique au travers de la mise en oeuvre des nouvelles exigences relatives à l’échange automatique d’informations entre administrations fiscales édictées par l’OCDE (Common Reporting Standards). Or ces dispositions sont distinctes des exigences réglementaires en matière de LCB-FT et ne sauraient se substituer à celles-ci. En particulier, la documentation de la conformité fiscale des clients reposant sur une auto-déclaration non corroborée par des documents justificatifs ne peut être regardée comme suffisante pour les clients dont le profil présente des indices de nature à fonder un soupçon (par exemple les clients non-résidents et les sociétés offshore).
p. 9 : comparaison des procédures locales par rapport aux normes établies par le groupe sans pour autant produire une analyse complète intégrant une analyse de l’équivalence des normes à la réglementation française article par article. »
Le pilotage du dispositif de LCB-FT par les fonctions centrales
« Il est attendu des entreprises-mères de groupes :
- qu’elles définissent une organisation et des procédures internes tenant compte de l’ensemble des risques de BC-FT auxquels le groupe est exposé, lui permettant d’assurer le pilotage central du dispositif LCB-FT au sein du groupe ;
- qu’elles s’assurent de la cohérence, au niveau du groupe, des outils de surveillance des opérations déployés au sein des entités, par le suivi des fonctionnalités et du paramétrage des scenarios, des outils de notation des clients (« scoring ») et de filtrage utilisés par les entités, et le cas échéant, qu’elles justifient, suivent et centralisent les écarts constatés ;
- qu’elles définissent de manière adaptée la nature et la fréquence des informations qui doivent lui être transmises par les entités du groupe afin, notamment, d’assurer le pilotage central du dispositif LCB-FT et de suivre le risque BC-FT auquel chaque entité du groupe est exposée ;
De même les entreprises-mères de groupes doivent :
- allouer des moyens suffisants pour assurer le pilotage central du dispositif LCB-FT;
- suivre le dispositif de formation des personnels mis en oeuvre au sein des entités du groupe, en ce qui concerne notamment les taux et la fréquence de formation, et l’adaptation des formations aux fonctions, activités et risques de BC-FT identifiés au sein des entités (p. 10).
p. 10 : le pilotage du dispositif de LCB-FT mis en place par les différentes entités d’un groupe suppose également que les fonctions centrales s’impliquent dans la définition et la gouvernance des outils de LCB-FT utilisés à travers le groupe de façon à s’assurer que les fonctionnalités et paramétrages de ces outils sont en ligne avec les exigences du groupe et adaptés aux risques et spécificités des entités locales.
p. 11 : les fonctions centrales n’étaient pas en mesure de fournir une cartographie globale des outils de LCB-FT ainsi que les informations ou documents relatifs à leurs fonctionnalités et paramétrages. Les groupes n’intervenaient pas non plus dans la fixation des règles de détection et des seuils de génération des alertes et n’avaient pas, pour la plupart, établi de préconisations dans ce domaine. Quelques groupes avaient déterminé un jeu de scénarios de vigilance, à des fins 5 d’identification d’opérations atypiques, à déployer au sein des entités locales. Toutefois, ceux-ci étaient limités en nombre, n’avaient pas été revus depuis plusieurs années et n’étaient pas toujours déployés dans l’ensemble des entités du groupe. La conformité centrale n’intervenait pas, non plus, dans la conduite des projets liés à l’évolution de ces outils locaux ou bien dans les décisions d’arbitrage des développements informatiques, de calendrier ou encore des budgets. Au travers de 10 contrôles sur place dans des filiales assurance de groupes, il a été constaté la lenteur et la difficulté de mettre en place des outils informatiques de LCB-FT communs.
p. 11 : des missions de contrôles ont relevé l’absence d’instructions notamment dans les domaines suivants :
- le contrôle de la qualité des données alimentant les outils de LCB-FT ;
- la mise en oeuvre d’une revue régulière des scénarios des outils de vigilance automatisés ;
- la gouvernance des décisions stratégiques concernant les outils de LCB-FT ;
- la gestion de la maintenance des outils de LCB-FT.
p. 11 : un suivi centralisé de la réalisation du plan de formation tandis que la couverture de la population éligible avait été jugée incomplète dans trois cas. Deux missions ont particulièrement souligné le manque de sensibilisation des équipes, notamment des équipes commerciales sur les thématiques de LCB-FT, traduisant l’inadaptation des formations dispensées aux employés n’appartenant pas à la fonction de conformité mais pourtant exposés aux risques de BC-FT. »
L’échange d’informations nécessaires à la vigilance
« Il est attendu des entreprises-mères de groupes :
- qu’elles définissent, pour l’ensemble du groupe, des procédures assurant le partage au sein du groupe des informations qui sont nécessaires à la vigilance en matière de LCB-FT, y compris les données nominatives relatives à la clientèle et aux relations d'affaires, les informations relatives aux examens renforcés et aux déclarations de soupçon ;
- qu’elles s’assurent de la mise en oeuvre de ces procédures et de la pertinence des informations échangées ;
- qu’elles identifient les dispositions de droit local auxquelles sont soumises leurs filiales/succursales dans des pays tiers, qui font obstacles à ces échanges d’informations intragroupes. Dans ce cas, elles (i) analysent les obstacles ou les difficultés juridiques rencontrés, et en informent l’ACPR et Tracfin ; (ii) mettent en oeuvre des mesures de vigilance spécifiques adaptées aux obstacles rencontrés (p. 13)
p. 13 : ainsi plusieurs groupes ne prévoyaient que la remontée d’informations anonymisées, les fonctions centrales ne pouvant accéder à l’information complète qu’à l’occasion de visites dans les implantations locales. Un groupe s’était limité à organiser un échange d’informations qu’en matière de déclarations de soupçon.
L’échange d’informations, y compris nominatives, entre les entités d’un même groupe constitue un élément clef pour la vigilance dans le groupe en matière de LCB-FT, pour veiller à la cohérence de l’évaluation du profil de risque des clients communs et pour être informé d’évènements de conformité conduisant à la réévaluation du profil de risque dans une implantation. »
Le dispositif de contrôle interne
« Dans ce cadre, il est attendu des entreprises-mères de groupes :
- qu’elles définissent une organisation assurant l’indépendance et le rattachement idoines des équipes de contrôle, ainsi que les moyens nécessaires à l’exercice de leur fonction ;
- qu’elles coordonnent les contrôles opérés par les différentes unités de contrôle locales ou centrales, de contrôle permanent ou de contrôle périodique, tout en veillant à ce que ces contrôles s'appliquent à l'intégralité des activités réalisées par le groupe ;
- qu’elles s’assurent de la cohérence des contrôles au sein du groupe, notamment par (i) la définition de procédures-cadres détaillées fixant les modalités d’élaboration d’un plan de contrôle complet et précisant ces modalités d’exécution ; (ii) la communication à l’entreprise-mère, à des fins de pilotage et d’information des instances de gouvernance, des plans de contrôle ainsi que le résultat des contrôles menés dans les entités du groupe ;
- qu’elles mettent en place un dispositif de suivi efficace sur l’ensemble du périmètre groupe des 20 actions correctrices destinées à répondre aux défaillances relevées tant par le dispositif de contrôle interne à l’échelle locale ou centrale, que par les autorités de supervision ;
- qu’elles veillent à ce que les organes de surveillance des entités du groupe et de l’entreprise-mère soient informés des incidents importants et des insuffisances en matière de LCB-FT relevés notamment dans le cadre du contrôle interne (p. 15). »