Beatrice BON MICHEL jean-francois-caron

Entre les communications de TRACFIN, l’intérêt de la BCE sur le sujet et l’arrêté du 6 janvier 2021 publié le 16 janvier 2021, la pression ne se relâche pas en matière de Sécurité Financière  [1]. Le dernier arrêté était attendu car il permet de sortir la LCB-FT de l’arrêté du 3 novembre 2014 et de lui donner l’importance qui lui revient dans le contexte actuel. De plus, le Code monétaire et financier (CMF) ayant évolué depuis 2014, il devenait nécessaire d’harmoniser les références réglementaires.

Que pouvons-nous retenir de cet arrêté par rapport à nos connaissances antérieures ?

1.   Concernant la gouvernance et l’organisation du dispositif

Un des éléments au cœur du dispositif, la classification des risques, a été précisé dans ses modalités de réalisation. Il est notamment demandé de :

  • S’appuyer sur les sources d’information disponibles[2];
  • Faire évoluer la classification selon l’évolution de l’activité, c’est-à-dire intégrer très en amont de la gouvernance les enjeux LCB/FT (nouvelle typologie client, nouveau produit-transaction, circuit de distribution, zone géographique) ;
  • Définir précisément les exigences d’entrée en relation et de suivi de la relation d’affaires selon le profil de risque de cette relation (art. 6).

Ces précisions s’appuient notamment sur les constats de dysfonctionnements identifiés lors des missions de contrôle de l’ACPR.

En matière de gouvernance, le rôle de l’organe de direction est précisé ainsi que celui de l’organe de surveillance (art 25 et 26), ce dernier devant examiner régulièrement « la politique, les procédures et dispositifs LCB-FT ainsi que les mesures correctrices mises en œuvre ». Cela suppose de mettre systématiquement le sujet Sécurité Financière à l’ordre du jour et de tracer les décisions prises. Le conseil de surveillance doit pouvoir demander des informations adaptées à son « besoin d’en savoir », notamment dans le contexte actuel où les soupçons en matière LCB/FT ne faiblissent pas.

Enfin, les enjeux de supervision (qui ont fait l’objet d’une note très instructive de la part de l’ACPR[3]) sont encadrés (art 20 – 21 et 22) ; le dispositif attendu dans le cadre de l’arrêté reprend le Code Monétaire et Financier. L’établissement-mère établit une classification des risques adaptée aux enjeux du Groupe. Le responsable LCB/FT définit le cadre procédural et s’assure de sa déclinaison sur tout le périmètre.

La qualité de la supervision repose, en plus du cadre procédural et des responsabilités définies, sur un circuit adapté de l’information et de sa communication permettant au Groupe d’être informé de toute anomalie significative.

L’ensemble de l’arrêté vise à renforcer d’une part la pertinence de l’approche par les risques et le cadre procédural, et d’autre part la responsabilité des instances de gouvernance. C’est de leur responsabilité de s’assurer que le dispositif mis en place facilite la connaissance de tout dysfonctionnement significatif et permet un profilage adapté de la clientèle, et plus largement de l’activité.

2.   Concernant le cadre de contrôle interne

La principale évolution est l’intégration des organismes assujettis régis par les dispositions du régime dit « solvabilité II ». Nous reprenons ci-après les grands axes de ce dispositif de contrôle :

  • La conformité au corpus procédural mis en œuvre ;
  • Le respect de la politique définie par l’organe de surveillance ainsi que les décisions et instructions prises par les dirigeants pour sa mise en œuvre ;
  • La qualité de l’information destinée au responsable en charge du déploiement du dispositif Sécurité Financière ;
  • L’exécution dans des délais raisonnables, ou immédiatement pour les incidents significatifs[4], des mesures correctrices mises en place pour remédier aux dysfonctionnements constatés en matière de Sécurité Financière, y compris les incidents et insuffisances mentionnés à ces articles et à l’article R. 561-38-8 du même Code ;
  • La mise en place, par les filiales et succursales des organismes assujettis établies à l’étranger, de dispositifs de contrôle de la conformité de leurs opérations aux règles locales en matière de Sécurité Financière ;
  • La qualité des systèmes d’informations et de communication (notamment en matière de gel des avoirs).

Le rôle du contrôle permanent et du contrôle périodique sont réaffirmés quant à l’appréciation de la qualité du dispositif, ce qui suppose des moyens suffisants et des compétences adaptées.

La responsabilité du contrôle permanent du dispositif Sécurité Financière ne peut être confiée au responsable de sa mise en œuvre (sauf si la taille de l’établissement ne le permet pas).

La cartographie des risques, quant à elle, est complémentaire de la classification des risques. Elle permet de mettre en place des dispositifs de maîtrise adaptés (dont les contrôles opérationnels). L’arrêté ne mentionne pas la cartographie en tant que telle. Celle-ci est néanmoins essentielle à la pertinence du dispositif de contrôle interne.

3.   Concernant le corpus de procédures

Les procédures constituent un point important (Chapitre II de l’arrêté) car elles engagent ceux qui en ont la responsabilité. De plus, elles traduisent la mise en œuvre de l’obligation de moyens par l’établissement.

Outre le rôle essentiel du responsable LCB/FT au sein des établissements quant à la validation des procédures et au contrôle de leur respect, l’arrêté précise le contenu de certaines procédures, notamment les modalités de conservation des documents (art. 6), les processus d’encaissement de chèques (art. 7) et la tierce introduction (art.8).

4.   Concernant l’externalisation

Le sujet de l’externalisation (et les spécificités par rapport à la tierce introduction) avait été précisé dans le cadre de lignes directrices [5]. Les exigences relatives à l’externalisation sont précisées dans le cadre de cet arrêté.

Dans un contexte où de nouveaux acteurs, notamment de paiement, interviennent dans les circuits financiers et sont à la fois prestataire et/ou clients d’autres institutions[6], les obligations en matière d’externalisation nécessitaient d’être clarifiés. Les exigences définies dans l’arrêté (notamment la contractualisation) sont à mettre au regard d’une part des exigences de l’ABE[7] et d’autre part de l’arrêté du 3 novembre 2014 (relatif aux PSEE). Là encore, les procédures doivent être précises et prévoir notamment « une information de l’Autorité de contrôle prudentiel et de résolution, qui est tenue informée de toute évolution importante concernant les prestations externalisées ».

5.   Concernant la tierce introduction

L’établissement assujetti recourant à la tierce introduction doit mettre en œuvre les actions suivantes (art. 8) afin d’encadrer sa relation avec les prestataires concernés (tiers introducteurs):

  • Détermination des règles à appliquer par les tiers introducteurs concernant les entrées en relations avec la clientèle ou avec les assurés ;
  • Mise en place d’un processus de sélection des tiers introducteurs sur base d’une approche par les risques, notamment lorsque le tiers introducteur est établi dans un pays étranger (niveau de risque lié au pays, obstacles juridiques pour la transmission d’informations nécessaires à la LAB/FT, équivalence de la réglementation et de la supervision auxquels sont soumis les tiers introducteurs) ;
  • Contrôle des tiers introducteurs afin de s’assurer qu’ils respectent les obligations de vigilance relatives à la clientèle, que les documents attestant de la connaissance du client et de leur suivi sont correctement conservés, que les informations transmises par les tiers introducteurs sont de bonne qualité et transmises dans les délais.

6.   Concernant le dispositif en matière de gel des avoirs et d’interdiction de mise à disposition (Chapitre III)

L’arrêté confirme le dispositif à mettre en place, en lien avec le Code Monétaire et Financier. Sont ainsi précisées :

  • L’obligation de mettre en place, selon des modalités adaptées à leur organisation, des procédures de centralisation ou de coordination de l’analyse et de traitement des alertes générées par les détections ;
  • Les procédures internes mises en place, notamment sur les modalités :
    • D’analyse des alertes, les informations à recueillir et leurs règles de conservation, y compris lorsque l’alerte a été classée sans suite ;
    • De mise en œuvre des mesures de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques ;
    • De levée de ces mesures ;
    • D’information du Ministre chargé de l’économie lors de la mise en œuvre des mesures.

7.   Concernant l’abrogation de certains règlements

Enfin, compte-tenu de ces évolutions, certains règlements sont abrogés, dont le règlement du Comité de la réglementation bancaire et financière n°2002-01 du 18 avril 2002 relatif aux obligations de vigilance en matière de chèques aux fins de LCB/FT, ainsi que le règlement du Comité de la réglementation bancaire et financière n°2003-01 du 16 mai 2003 modifiant le règlement n° 2002-01 du 18 avril 2002.

8.   En synthèse, les impacts pour les fonctions de contrôle

L’arrêté du 6 janvier 2021, comme précédemment l’arrêté du 3 novembre 2014, implique sensiblement les fonctions de contrôle permanent (2nd niveau) et de contrôle périodique (3ème niveau) pour la LCB/FT. La publication de ce nouvel arrêté est l’occasion de rappeler les travaux essentiels en la matière à réaliser par les contrôleurs permanents et les auditeurs internes :

  • Rapports réguliers du contrôle de 2nd niveau à la gouvernance, plus particulièrement au Comité des risques, sur les conclusions des contrôles menés sur la période analysée en matière de LCB/FT. L’audit interne quant à lui formule une opinion sur la qualité des dispositifs de LCB/FT et leur conformité avec la règlementation en vigueur ;
  • Déploiement de dispositifs de LCB/FT homogènes au sein des filiales sous l’impulsion et l’encadrement du contrôle permanent du groupe. L’audit interne s’assure que cette homogénéité est effective dans l’ensemble des entités concernées ;
  • Encadrement des processus de LCB/FT par un corps procédural supervisé par le contrôle permanent de 2nd L’audit interne évalue la qualité des procédures en question : exhaustivité au regard des activités, actualisation dans les délais impartis, conformité avec la réglementation en vigueur, accessibilité à l’ensemble des fonctions concernées par la LCB/FT, sensibilisation des collaborateurs au contenu et au respect de ces procédures ;
  • Inclusion dans les contrôles permanents portant sur la qualité des données, des informations transmises au responsable de la LCB/FT. Les auditeurs internes s’assurent que ces contrôles de données sont effectifs, correctement formalisés, de fréquence adaptée, suivis d’effet en cas d’anomalie identifiée ;
  • Intégration dans le périmètre d’audit des systèmes d’informations (dont les traitements relatifs au gel des avoirs) ;
  • Encadrement et supervision par le contrôle permanent des dispositifs de LCB/FT mis en œuvre chez les prestataires essentiels et les tiers introducteurs de l’organisme assujetti. L’audit interne s’assure que le plan de contrôle permanent couvre les relations entre l’établissement et les tiers concernés par la LCB/FT. Les auditeurs incluent également, lors de leur audit réalisé chez les prestataires essentiels, la revue des dispositifs LCB/FT ;
  • Centralisation au niveau de la fonction gestion des risques des incidents identifiés suite aux contrôles permanents de 1er et de 2nd niveau en matière de LCB/FT, y compris ceux relevés au sein des filiales et des succursales. Cette centralisation constitue le socle de leur analyse et permet en conséquence de décider des actions correctives nécessaires, voire d’ajuster les processus existants. L’audit interne vérifie que la collecte des incidents et leur centralisation sont effectives, et évalue la pertinence des actions engagées pour y répondre.

L’arrêté du 6 janvier 2021 entre en vigueur le 1er mars 2021. En outre, les établissements assujettis disposent d’un délai d’un an pour mettre en conformité leurs contrats d’externalisation conclus avant le 1er mars 2021 avec les nouvelles dispositions.

Cet arrêté permet d’ajuster, en partie, le cadre de contrôle interne actuel en matière de Sécurité Financière. Sans remettre en question le cadre actuel, cet arrêté vient rappeler les enjeux d’approche par les risques, de responsabilité et de traçabilité. Comply or explain, là est la question … là devrait aussi se trouver la réponse.

 

[1] Sécurité Financière : sous ce vocable nous intégrons la lutte contre le blanchiment de capitaux et le financement du terrorisme et de gel des avoirs et d’interdiction de mise à disposition ou d’utilisation des fonds ou ressources économiques.

[2] Dont « les informations diffusées par le ministre chargé de l’économie, le service mentionné à l’article L. 561-23 du code monétaire et financier (TRACFIN), le Groupe d’action financière (GAFI) ainsi que les publications de l’organisation de coopération et de développement économiques (OCDE) et de l’Union européenne. » (art 2)

[3] « Le pilotage consolidé du dispositif de LCB FT des groupes bancaires et assurantiels », ACPR – 02102019-https://acpr.banque-france.fr/

[4] Au sens des articles R. 561-38-4 et R. 562-1 du code monétaire et financier

[5] Lignes directrices relatives à la tierce introduction de mars 2011 émises par l’ACPR. Autre document précisant également la tierce introduction : Position – recommandation AMF – Lignes directrices relatives à la tierce introduction en matière de lutte contre le blanchiment et le financement du terrorisme – DOC-2013-04.

[6] Exemple : Prestataire de service de paiement (PSP), prestataires de services d’information sur les comptes (PSIC), Émetteurs de monnaie électronique

[7] Orientations relatives à l’externalisation, 25 février 2019, EBA/GL/2019/02