Résumé - Points clés - décision de l’ACPR n° 2018-04 du 13 juin 2019

Motif : Non respect des obligations en matière de lutte contre le blanchiment et financement du terrorisme, suite à un contrôle sur place du 18 Avril au 6 Octobre 2017.

Sanction : Un blâme, une sanction pécuniaire de 2 millions d’euros et une publication au registre de l’ACPR pour une durée de 5 ans.

I)                  Organisation et contrôle interne du dispositif LCB-FT

 A)   Sur la classification des risques

Visa : article L 561-4-1 CMF

Griefs et conclusions :

La classification des risques de la CEPAC n’était pas suffisamment adaptée, au moment du contrôle :

-  Elle ne prenait pas en compte le dispositif de défiscalisation immobilière Outre-mer « Girardin » proposé par la CEPAC.

-  Elle attribuait le niveau de risque le plus faible (1), aux dispositifs d’immobilier patrimonial « Borloo » et « Robien » (défiscalisation), alors que TRACFIN avait publié des alertes dès 2014 sur les fraudes potentielles liées à ces dispositifs.

 >> le reproche est établi, en ce que la CEPAC n’avait pas explicitement mentionné le dispositif « Girardin » dans la classification des risques, et qu’il ne pouvait pas être rattaché de manière certaine aux autres catégories mentionnées. (reproche atténué du fait du nombre très faible d’opération, une seule.)

- Elle ne prenait pas assez en compte les risques liés aux « joueurs réguliers », notamment de casino et paris sportifs (10 fiches de défaut de déclaration de soupçon à ce sujet), TRACFIN ayant alerté depuis 2013 sur ce type de risque.

>> Reproche établi sur l’absence de mention de ce type de risque dans la classification. Mais pas d’exposition permanent à risque de ce type (défaut de DS pour seulement 2 clients sur 10 de ce type)

- Elle a fait l’objet d’une mise à jour tardive (Novembre 2016, applicable en octobre 2017) concernant le risque de financement du terrorisme lié au crédit à la consommation (produit largement distribué par la CEPAC), mis en évidence par TRACFIN dès 2014 et par le ministère de l’économie en 2015.

>> Reproche fondé sur la prise en compte tardive de ce risque, mais atténué par la récente actualisation.

>> Grief sur la classification des risques établi, mais dans un périmètre réduit et en partie relativisé.

 B)    Sur le dispositif de suivi et d’analyse de la relation d’affaires et le contrôle permanent

Griefs et conclusions :

-         Délais de traitement des alertes générées par l’outil de surveillance trop longs : 58 alertes générées avant 2015 clôturées plus d’un an après leur création, 55 alertes encore en cours de traitement au moment du contrôle, 63 alertes générées en 2016 avec statut « nouvelles » n’avaient pas fait l’objet d’une première analyse, tout comme 411 alertes générées entre le 01/01/2017 et le 31/03/2017.

 >> Reproche établi, tout en tenant compte qu’il ne porte que sur 0.19% des alertes.

 -         Analyse insuffisante : 174 alertes clôturées sans suite avec le commentaire « client injoignable » (motif irrecevable à clôture)

 >> Reproche établi, de plus qu’aucune diligence ou analyse ayant conduit au classement sans suite n’a été fournie. Atténuation : Pour les alertes clôturées sans suite au 1er semestre 2017 les dossiers évoqués n’en représentent que 0.28 %.

 -         Contrôle permanent : Contrôle portant sur 23 des 37 scénarios de l’outil (excluant des scénarios à risques LCB-FT élevé ex : remboursement anticipé de prêt ou opération de change) et seulement 55% des alertes à contrôler en 2016  l’ont été.

 >> Reproche établi, en ce que seul un dispositif de traitement couvrant l’intégralité des scénarios peut répondre efficacement aux exigences réglementaires de sécurité, fiabilité et exhaustivité auxquelles la CEPAC doit se conformer + impossible de justifier l’absence de contrôle permanent de 2nd niveau sur les délais de traitement des alertes par le constat d’un « délais moyen conforme à la limite fixée par le groupe ».

 >> Les actions correctrices de la CEPAC ayant permis de porter le taux de contrôle à 90% en Août 2018 sont irrecevables car postérieures au rapport de contrôle.

 II)                 Connaissance de la clientèle et actualisation

Visa : L561-6 CMF sur KYC.

Griefs et conclusions : 

-         « Les informations recueillies par la CEPAC sur sa clientèle sont incomplètes et insuffisamment actualisées »

 -         Informations manquantes dossier client : revenu (55% des PP, et 9 défaut de DS sur 41 ne comportait pas d’infos sur les revenus), catégorie socio-professionnelle : absence de mise à jour : 58 905 clients de + de 40 ans enregistrés en tant qu’étudiants.

 -         Nouveau dispositif informatisé d’actualisation de la connaissance (Juin 2017) non efficace : alerte difficilement visible en consultation dossier client, non contraignante et non bloquante >> démarche d’actualisation pas suffisamment structurée et régulière.

 >> La CEPAC n’est pas en mesure de justifier d’une dispense d’obligation de vigilance au visa de l’ordonnance 2009-104 du 30 Janvier 2009 applicable aux clients « distanciés », car elle en a une définition trop large (ex :moins de 15 opérations débitrices mensuelles..), et bien que la CEPAC considère certains de ses clients comme « inactifs », elle n’est pas en mesure de le justifier.

Le grief est retenu.

 III)              Défaut de déclaration de soupçon

Visa : L561-15 CMF sur déclaration TRACFIN.

Griefs et conclusions :

-         Les opérations de 25 clients auraient dû donner lieu à l’envoi d’une DS à TRACFIN (8% des 312 dossiers examinés : proportion significative).

 Exemples d’opérations suspectes non déclarées par la CEPAC, et pour lesquelles elle ne disposait pas des informations nécessaires sur l’origine des fonds, la situation ou encore les revenus du client lui permettant d’écarter un soupçon de blanchiment :

 -         Versements mensuels d’environ 1000 € par mois au crédit du compte de clients respectivement « étudiant », « agent de service » ou encore « chômeur n’ayant jamais travaillé ».

 -         Flux créditeurs d’un montant de 240 000 € en 2016 sur le compte d’un retraité disposant d’une pension annuelle de 45 000 € (chèques, virements, espèces).

 -         Deux dépôts d’espèces, en Juillet 2015,  au crédit du compte d’une étudiante pour un montant total supérieur à 30 000 €.

>> La CEPAC conteste, à tord, les faits reprochés en raison des faibles montants concernés par les opérations en cause et de leur absence de complexité.

Argument irrecevable, en ce que le montant n’est pas un critère d’exemption de déclaration (décision du 30 juin 2017 CRCAM  Atlantique-Vendée).

Conclusion générale : Il a été constaté à la suite du contrôle, que le dispositif LCB-FT de la CEPAC présentait des carences massives en matière de collecte et d’actualisation des informations permettant à un établissement de connaître ses clients ; que ces carences ont eu pour conséquence des défauts de déclaration de soupçon et que le dispositif de contrôle permanent de la CEPAC était incomplet.

Les griefs relatifs à la classification des risques et au dispositif de suivi et d’analyse de la relation d 'affaires ont été retenus mais atténués du fait des raisons évoquées précédemment. Les actions correctrices prises en conséquence ont été prises en compte lors de la décision de sanction.