Commentaire sanction ACPR Only Payments Services

Commentaire sanction ACPR Only Payments Services

La décision en bref

 L’ACPR constate de sérieux manquements dans le dispositif LCB-FT :

·      Carences relevées en matière de classification des risques, l’ACPR juge que la nationalité est un élément pertinent à prendre en compte dans la classification des risques.

·      Manquements lors de l’entrée en relation d’affaires dans le cadre de la connaissance du client.  Des inexactitudes relatives aux informations sur la situation professionnelle du client, mais également un défaut de connaissance des revenus et du patrimoine du client a été relevés par l’ACPR.

·      Carences sur le dispositif de suivi et d’analyse des relations d’affaires. Selon l’ACPR, les seuils utilisés par OPS étaient manifestement inadaptés.

·      Sur l’organisation et la mise en œuvre du dispositif de contrôle interne, le principe d’indépendance entre le contrôle 1^er niveau et contrôle 2^ème niveau n’a pas été respecté par OPS.

·      OPS n’a pas effectué d’examen renforcé sur des opérations de 10 clients. En effet, OPS n’a pas déployé des mesures d’intensité assez fortes pour collecter les revenus, et le patrimoine du client. OPS ne disposait pas d’informations quant à leur situation professionnelle permettant de comprendre l’objet des opérations effectuées ou d’apprécier la licéité de leur objet

·      Le dispositif de gel des avoirs ne permettait pas de respecter toutes ses obligations puisque les fréquences de filtrage (mensuel) étaient trop faibles.

L’ACPR attenue les griefs suivants

·      L’ACPR relativise les griefs relavant de manquement aux obligations en matière de connaissance du client, car le constat réalisé à partir d’un échantillon ne peut être étendu à la totalité de la clientèle. 

·      L’ACPR constate une absence de réaction appropriée face à des opérations qui dépassaient les seuils définis par les procédures internes d’OPS, mais elle relativise ce manquement au motif que les seuils dépassés paraissaient peu nombreux au regard du volume d’activité de l’établissement.

·      Lors du contrôle sur place de l’ACPR, aucun contrat n’avait été signé entre OPS et certains prestataires qui réalisaient pourtant des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes. Malgré le manque de contrat, ses relations avec ses prestataires ont été jugées conformes aux stipulations des projets de convention.

·      OPS n’avait effectué aucune communication systématique d’informations (ci-après « COSI ») depuis le début de son activité, alors que certains clients avaient réalisé des opérations en espèces supérieures au seuil réglementaire. L’ACPR atténue ce manquement à cette obligation au motif que le nombre de défauts de COSI constaté est relativement faible.

*

*                     *

L’ACPR a prononcé un blâme et une sanction pécuniaire de 70 000 euros à l’encontre de l’établissement de paiement Only Payment Services (ci-après OPS) en raison des carences constatées du dispositif LCB-FT. La sanction a été prononcée à la suite d’un contrôle sur place.

OPS a été agréé en qualité d’établissement de paiement le 10 octobre 2012, la société s’appuyait sur le réseau des boutiques pour fournir des services de paiement à une clientèle majoritairement non bancarisée et à faible niveau de revenus. Suite à des pertes financières trop importantes, OPS a cessé son activité et sollicité le retrait de son agrément. Malgré le retrait d’agrément, l’ACPR à mener un contrôle au sein de l’établissement.

La décision est composée de 10 griefs qu’il convient d’étudier plus précisément.

Le premier grief concerne la classification de risques jugée comme lacunaire par l’ACPR. L’article L. 561-4-1 du Code monétaire et financier (ci-après « CMF ») impose aux organismes assujettis d’élaborer et de mettre à jour « une classification des risques en question en fonction de la nature des produits ou services offerts, des conditions de transaction proposées, des canaux de distribution utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire d'origine ou de destination des fonds ». Ces dispositions sont précisées par l’article 58 de l’arrêté du 3 novembre 2014 qui mentionne que cette classification prend également en compte les informations et les déclarations diffusées par le Groupe d’action financière (ci-après le « GAFI ») et par le ministre chargé de l’économie ainsi que les informations reçues du service à compétence nationale Tracfin[1].

L’Autorité de Contrôle juge la classification des risques de blanchiment des capitaux et de financement du terrorisme (ci-après « BC-FT ») d’OPS étant incomplète et insuffisamment adaptée aux risques présentés par les caractéristiques de la clientèle d’OPS et par les opérations réalisées. Cette classification ne prenait pas suffisamment en compte la nationalité ou le pays de résidence, alors même que 36 % des clients en relation d’affaires étaient de nationalité étrangère. OPS avait surtout noué des relations d’affaires avec des clients nationaux ou résidents de pays présentant des risques élevés de BC-FT.

OPS devait intégrer dans sa classification des risques toutes les caractéristiques de sa clientèle d’où il résulte un risque particulier de BC-FT, nonobstant l’absence de mention d’un critère relatif à la nationalité ou la résidence dans les lignes directrices conjointes sur les obligations de déclaration et d’information à Tracfin. Malgré la non-publication du rapport de Tracfin « Tendances et analyse des risques de blanchiment des capitaux et de financement du terrorisme en 2017-2018 » du 28 novembre 2018, d’autres informations publiques sur la situation dont la Syrie, auraient dû conduire OPS à en tenir compte dans sa classification des risques. L’ACPR souligne que le critère de la nationalité est pertinent pour évaluer les risques y compris lorsque les clients n’effectuent des transactions qu’au sein de l’espace unique de paiement en euros.

Pour se défendre, OPS invoque le fait que la Haute Autorité de lutte contre les discriminations et pour l’égalité et le Défenseur des droits ont estimé « que la nationalité, l’origine ou la régularité du séjour en France ne pouvaient fonder un refus de la part d’une banque d’ouvrir un compte ou des restrictions dans la fourniture de services ; que, la discrimination étant en outre pénalement réprimée, la nationalité ne pourrait être un critère intégré à une classification des risques ». Toutefois, l’ACPR rappelle que ces décisions sont sans incidence sur le grief qui ne porte pas sur les conditions d’ouverture ni sur le fonctionnement du compte d’un client, mais sur l’obligation pour l’établissement d’identifier et d’évaluer tous les risques résultants de sa clientèle en fonction des caractéristiques de celle-ci.

En ce qui concerne les obligations de vigilances, les organismes assujettis doivent, avant d’entrer en relation d’affaires avec un client et pendant toute la durée de celle-ci, recueillir, analyser et mettre à jour les informations relatives à l’objet et à la nature de cette relation ainsi que toute autre élément d’information pertinent sur ce client[2]. L’ACPR constate au moment du contrôle des inexactitudes relatives aux informations sur la situation professionnelle du client, mais également un défaut de connaissance des revenus et du patrimoine du client.[3].

L’ACPR constate des manquements sur le dispositif de suivi de la relation d’affaires[4]. Celui-ci reposait, « au moment du contrôle, d’une part, sur des seuils unitaires en montant d’opérations dits « seuils en boutique », au-delà desquels le vendeur devait demander une justification et, d’autre part, sur des requêtes mensuelles effectuées a posteriori, à partir de ces seuils, formalisées dans un fichier d’alertes et analysées ». ²

L’Autorité de Tutelle précise également « pour les opérations en espèces, au-delà de 1 500 euros pour une opération, le vendeur en agence devait se renseigner sur l’origine des fonds et saisir un commentaire dans une base de données ; qu’au-delà de 3 000 euros, il devait recueillir un justificatif et le scanner dans son logiciel de gestion électronique de documents ; que les opérations portant sur plus de 5 000 euros étaient interdites ». L’ACPR juge que ces seuils ne sont pas adaptés à l’activité d’OPS, notamment au regard du montant moyen des versements d’espèces effectués par ses clients.

La Commission de sanction de l’ACPR a déjà souligné la nécessité, en vertu d’une approche par les risques, de tenir compte du montant moyen des transactions et d’apprécier les écarts à ce montant (décision Société d’exploitation Merson, 19 décembre 2016 ; voir également la décision Sigue Ltd du 13 juin 2018). Il résulte des indications chiffrées figurant ci-dessus que les seuils utilisés par OPS étaient manifestement inadaptés, ni les pratiques locales alléguées d’utilisation plus importante des espèces ni la possibilité, sous certaines conditions, de régler les salaires sous cette forme, ne permettent pas de justifier le choix de tels seuils par OPS. [5]

La décision souligne également les défauts constatés sur les examens renforcés réalisés par la société. En effet, le II de l’article L. 561-10-2 du CMF prévoit « un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé ou ne paraissant pas avoir de justification économique ou d’objet licite ». En cas de détection d’une opération atypique, l’établissement se renseigne auprès du client sur l’origine des fonds et la destination de ces sommes ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie. En l’espèce, OPS n’a pas effectué d’examen renforcé sur des opérations de 10 clients. Dans ces dossiers, OPS ne connaissait ni les revenus, ni le patrimoine du client et ne disposait pas d’informations quant à sa situation professionnelle permettant de comprendre l’objet des opérations effectuées ou d’apprécier la licéité de leur objet[6].

A titre d’exemple, OPS a envoyé un courriel à son client qui avait réalisé, en un peu moins d’un mois, 8 opérations au crédit, en espèces, pour un montant total de 7 700 euros et 37 opérations en débit pour un montant total légèrement inférieur., le fait que le client ne réponde pas à sa demande, ne peut suffire à assurer le respect des obligations d’examen renforcé. OPS aurait dû se renseigner auprès du client sur l’origine des fonds, sur la destination des fonds, l’objet de l’opération et l’identité de la personne qui en bénéficie. Par cette décision, l’ACPR juge insuffisant un courrier et une relance au regard des obligations d’examen renforcé.

D’autres carences sont aussi constatées sur le dispositif de contrôle interne. L’article 13 et 14 de l’arrêté du 3 novembre 2014 précise les exigences liées à l’organisation du contrôle permanent. En effet, 25 des 77 contrôles permanents qualifiés de « deuxième niveau » par OPS dans son plan de contrôle sont assurés par son contrôleur interne, « qu’une part importante des autres contrôles de ce niveau incombe soit à une consultante externe (21 contrôles) placée sous la responsabilité de la directrice de production, soit à cette directrice elle-même (9 contrôles) et au directeur adjoint des opérations (9 contrôles), qui dirigent des services opérationnels et non des services exclusivement dédiés à la fonction de contrôle ». L’arrêté du 3 novembre 2014 prévoit la nécessaire adaptation du dispositif de contrôle interne d’un organisme assujetti à sa classification des risques, à son activité et à sa taille. Cependant, cette adaptation ne peut le conduire à se dispenser des règles et principes définis par l’arrêté du 3 novembre 2014. L’ACPR conclue que le contrôle interne de second niveau n’était pas exercé par des agents dédiés à cette tâche, dont la stricte indépendance vis-à-vis des unités exerçant des fonctions opérationnelles n’était dès lors pas assurée.

Le contrôle permanent du dispositif de suivi et de surveillance des relations d’affaires[7]présente lui-aussi des carences. OPS a, d’une part, « à 5 reprises, accepté des opérations que ses procédures internes auraient dû la conduire à refuser parce qu’elles étaient supérieures à ses seuils d’opération en boutique de 1 000 euros pour les dépôts d’espèces par des tiers (une opération) et 12 000 euros pour les remises de chèques (4 opérations) ; que, d’autre part, le franchissement du seuil de 3 000 euros pour les dépôts d’espèces par un client n’a pas conduit, dans deux cas, OPS à recueillir un justificatif de l’origine des fond ».

En ce qui concerne l’externalisation[8], les organismes assujettis peuvent, dans certaines circonstances, confier à des prestataires extérieurs de services les tâches d’exécution des contrôles qui y sont effectués. L’article 238 dudit arrêté prévoit que « l’externalisation d'activité : a) Donne lieu à un contrat écrit entre le prestataire externe et l'entreprise assujettie (…). De plus, l’article 239 du même arrêté impose notamment aux organismes assujettis que, dans leurs relations avec leurs prestataires externes, ces derniers « e) Se conforment aux procédures définies par l'entreprise assujettie concernant l’organisation et la mise en œuvre du contrôle des services qu'ils fournissent ». Lors du contrôle sur place, l’ACPR constate qu’aucun contrat n’avait été signé entre OPS et certains prestataires qui réalisaient des prestations de services ou d’autres tâches opérationnelles essentielles ou des tâches d’exécution des contrôles périodiques.

Un autre grief concerne les obligations d’informations et de déclaration à Tracfin. OPS n’avait, au moment du contrôle effectué aucune communication systématique d’informations depuis le début de son activité alors même que certains clients avaient réalisé des opérations en espèces supérieures au seuil réglementaire[9].

De plus, les organismes assujettis sont obligés de faire une déclaration de soupçon [10]à Tracfin lorsque « les sommes inscrites dans leurs livres ou les opérations portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou sont liées au financement du terrorisme ». OPS n'avait pas, au moment du contrôle, déclarées les opérations de 7 clients à Tracfin[11]. 

Pour terminer, l’article L 562-4 du CMF impose un dispositif de filtrage en matière de gel des avoirs. Après l’entrée en relation d’affaires, OPS n’effectue un filtrage de sa base clientèle au regard des listes de personnes faisant l’objet d’une mesure de gel des avoirs que selon une fréquence mensuelle, ce qui est jugée selon l’ACPR comme une mesure « ne permettant pas une mise en œuvre immédiate des mesures de gel des avoirs »[12].

Au final, les manquements retenus par la Commission justifient, compte tenu de leur nature et de leur durée, le prononcé d’un blâme. La circonstance qu’OPS a cessé son activité et sollicité le retrait de son agrément n’est pas de nature à faire obstacle au prononcé d’une sanction pécuniaire.

Malgré, la demande d’OPS de ne pas publier la présente décision qui lui causerait un préjudice disproportionné, la Commission juge qu’il est nécessaire au vu de l’engagement de l’OPS à la déclaration Tracfin et donc les obligations dont elle avait le devoir de tenir, de publier la décision malgré le préjudice causé.

 

---

[1] Grief 1

[2] L 561-5-1 du CMF

[3] Grief 2

[4] L 561-32 du CMF

[5] Grief 3

[6] Grief 4

[7] L’article 71 de l’arrêté du 3 novembre 2014

[8] L’article 21 de l’arrêté du 3 novembre 2014

[9] Grief 8

[10] L’article L 561-15 du CMF

[11] Grief 9

[12] Grief 10