Commentaire sanction ACPR Only Payments Services
Commentaire sanction ACPR Only
Payments Services
La décision en bref
L’ACPR constate de sérieux manquements dans le
dispositif LCB-FT :
·
Carences
relevées en matière de classification des risques, l’ACPR juge que la
nationalité est un élément pertinent à prendre en compte dans la classification
des risques.
·
Manquements
lors de l’entrée en relation d’affaires dans le cadre de la connaissance du
client. Des inexactitudes relatives
aux informations sur la situation professionnelle du client, mais également un
défaut de connaissance des revenus et du patrimoine du client a été relevés par
l’ACPR.
·
Carences
sur le dispositif de suivi et d’analyse des relations d’affaires. Selon
l’ACPR, les seuils utilisés par OPS étaient manifestement inadaptés.
·
Sur
l’organisation et la mise en œuvre du dispositif de contrôle interne, le
principe d’indépendance entre le contrôle 1er niveau et contrôle
2ème niveau n’a pas été respecté par OPS.
·
OPS n’a
pas effectué d’examen renforcé sur des opérations de 10 clients. En
effet, OPS n’a pas déployé des mesures d’intensité assez fortes pour collecter
les revenus, et le patrimoine du client. OPS ne disposait pas d’informations
quant à leur situation professionnelle permettant de comprendre l’objet des
opérations effectuées ou d’apprécier la licéité de leur objet
·
Le
dispositif de gel des avoirs ne permettait pas de respecter toutes ses
obligations puisque les fréquences de filtrage (mensuel) étaient trop faibles.
L’ACPR
attenue les griefs suivants
·
L’ACPR
relativise les griefs relavant de manquement aux obligations en matière de connaissance
du client, car le constat réalisé à partir d’un échantillon ne peut être
étendu à la totalité de la clientèle.
·
L’ACPR
constate une absence de réaction appropriée face à des opérations qui
dépassaient les seuils définis par les procédures internes d’OPS, mais
elle relativise ce manquement au motif que les seuils dépassés paraissaient peu
nombreux au regard du volume d’activité de l’établissement.
·
Lors du
contrôle sur place de l’ACPR, aucun contrat n’avait été signé entre OPS et
certains prestataires qui réalisaient pourtant des prestations de services
ou d’autres tâches opérationnelles essentielles ou importantes. Malgré le
manque de contrat, ses relations avec ses prestataires ont été jugées conformes
aux stipulations des projets de convention.
·
OPS
n’avait effectué aucune communication systématique d’informations (ci-après « COSI »)
depuis le début de son activité, alors que certains clients avaient réalisé des
opérations en espèces supérieures au seuil réglementaire. L’ACPR atténue ce
manquement à cette obligation au motif que le nombre de défauts de COSI
constaté est relativement faible.
*
* *
L’ACPR a prononcé un blâme et une
sanction pécuniaire de 70 000 euros à l’encontre de l’établissement de paiement
Only Payment Services (ci-après OPS) en raison des carences constatées du
dispositif LCB-FT. La sanction a été prononcée à la suite d’un contrôle sur
place.
OPS a été agréé en qualité
d’établissement de paiement le 10 octobre 2012, la société s’appuyait sur le
réseau des boutiques pour fournir des services de paiement à une clientèle
majoritairement non bancarisée et à faible niveau de revenus. Suite à des pertes
financières trop importantes, OPS a cessé son activité et sollicité le retrait
de son agrément. Malgré le retrait d’agrément, l’ACPR à mener un contrôle au
sein de l’établissement.
La décision est composée de 10 griefs
qu’il convient d’étudier plus précisément.
Le premier grief concerne la
classification de risques jugée comme lacunaire par l’ACPR. L’article L.
561-4-1 du Code monétaire et financier (ci-après « CMF ») impose aux
organismes assujettis d’élaborer et de mettre à jour « une classification
des risques en question en fonction de la nature des produits ou services
offerts, des conditions de transaction proposées, des canaux de distribution
utilisés, des caractéristiques des clients, ainsi que du pays ou du territoire
d'origine ou de destination des fonds ». Ces dispositions sont précisées
par l’article 58 de l’arrêté du 3 novembre 2014 qui mentionne que cette
classification prend également en compte les informations et les déclarations
diffusées par le Groupe d’action financière (ci-après le « GAFI ») et par le
ministre chargé de l’économie ainsi que les informations reçues du service à compétence
nationale Tracfin[1].
L’Autorité de Contrôle juge la
classification des risques de blanchiment des capitaux et de financement du
terrorisme (ci-après « BC-FT ») d’OPS étant incomplète et insuffisamment
adaptée aux risques présentés par les caractéristiques de la clientèle d’OPS et
par les opérations réalisées. Cette classification ne prenait pas suffisamment
en compte la nationalité ou le pays de résidence, alors même que 36 % des
clients en relation d’affaires étaient de nationalité étrangère. OPS avait
surtout noué des relations d’affaires avec des clients nationaux ou résidents
de pays présentant des risques élevés de BC-FT.
OPS devait intégrer dans sa
classification des risques toutes les caractéristiques de sa clientèle d’où il
résulte un risque particulier de BC-FT, nonobstant l’absence de mention d’un
critère relatif à la nationalité ou la résidence dans les lignes directrices
conjointes sur les obligations de déclaration et d’information à Tracfin.
Malgré la non-publication du rapport de Tracfin « Tendances et analyse
des risques de blanchiment des capitaux et de financement du terrorisme en
2017-2018 » du 28 novembre 2018, d’autres informations publiques sur
la situation dont la Syrie, auraient dû conduire OPS à en tenir compte dans sa
classification des risques. L’ACPR souligne que le critère de la nationalité
est pertinent pour évaluer les risques y compris lorsque les clients
n’effectuent des transactions qu’au sein de l’espace unique de paiement en
euros.
Pour se défendre, OPS invoque le fait
que la Haute Autorité de lutte contre les discriminations et pour l’égalité et
le Défenseur des droits ont estimé « que la nationalité, l’origine ou
la régularité du séjour en France ne pouvaient fonder un refus de la part d’une
banque d’ouvrir un compte ou des restrictions dans la fourniture de services ; que,
la discrimination étant en outre pénalement réprimée, la nationalité ne
pourrait être un critère intégré à une classification des risques ».
Toutefois, l’ACPR rappelle que ces décisions sont sans incidence sur le grief
qui ne porte pas sur les conditions d’ouverture ni sur le fonctionnement du
compte d’un client, mais sur l’obligation pour l’établissement d’identifier et
d’évaluer tous les risques résultants de sa clientèle en fonction des
caractéristiques de celle-ci.
En ce qui concerne les obligations de
vigilances, les organismes assujettis doivent, avant d’entrer en relation
d’affaires avec un client et pendant toute la durée de celle-ci, recueillir, analyser
et mettre à jour les informations relatives à l’objet et à la nature de cette
relation ainsi que toute autre élément d’information pertinent sur ce client[2]. L’ACPR
constate au moment du contrôle des inexactitudes relatives aux informations sur
la situation professionnelle du client, mais également un défaut de
connaissance des revenus et du patrimoine du client.[3].
L’ACPR constate
des manquements sur le dispositif de suivi de la relation d’affaires[4]. Celui-ci
reposait, « au moment du contrôle, d’une part, sur des seuils unitaires
en montant d’opérations dits « seuils en boutique », au-delà desquels le
vendeur devait demander une justification et, d’autre part, sur des requêtes
mensuelles effectuées a posteriori, à partir de ces seuils, formalisées dans un
fichier d’alertes et analysées ». ²
L’Autorité
de Tutelle précise également « pour les opérations en espèces, au-delà
de 1 500 euros pour une opération, le vendeur en agence devait se renseigner
sur l’origine des fonds et saisir un commentaire dans une base de données ;
qu’au-delà de 3 000 euros, il devait recueillir un justificatif et le scanner
dans son logiciel de gestion électronique de documents ; que les opérations
portant sur plus de 5 000 euros étaient interdites ». L’ACPR juge que
ces seuils ne sont pas adaptés à l’activité d’OPS, notamment au regard du
montant moyen des versements d’espèces effectués par ses clients.
La Commission de sanction de l’ACPR a
déjà souligné la nécessité, en vertu d’une approche par les risques, de tenir
compte du montant moyen des transactions et d’apprécier les écarts à ce montant
(décision Société d’exploitation Merson, 19 décembre 2016 ; voir
également la décision Sigue Ltd du 13 juin 2018). Il résulte des
indications chiffrées figurant ci-dessus que les seuils utilisés par OPS
étaient manifestement inadaptés, ni les pratiques locales alléguées d’utilisation
plus importante des espèces ni la possibilité, sous certaines conditions, de
régler les salaires sous cette forme, ne permettent pas de justifier le choix
de tels seuils par OPS. [5]
La décision souligne également les
défauts constatés sur les examens renforcés réalisés par la société. En effet,
le II de l’article L. 561-10-2 du CMF prévoit « un examen renforcé de
toute opération particulièrement complexe ou d’un montant inhabituellement
élevé ou ne paraissant pas avoir de justification économique ou d’objet licite ».
En cas de détection d’une opération atypique, l’établissement se renseigne
auprès du client sur l’origine des fonds et la destination de ces sommes ainsi
que sur l’objet de l’opération et l’identité de la personne qui en bénéficie.
En l’espèce, OPS n’a pas effectué d’examen renforcé sur des opérations de 10
clients. Dans ces dossiers, OPS ne connaissait ni les revenus, ni le patrimoine
du client et ne disposait pas d’informations quant à sa situation
professionnelle permettant de comprendre l’objet des opérations effectuées ou
d’apprécier la licéité de leur objet[6].
A titre
d’exemple, OPS a envoyé un courriel à son client
qui avait réalisé, en un peu moins d’un mois, 8 opérations au crédit, en
espèces, pour un montant total de 7 700 euros et 37 opérations en débit pour un
montant total légèrement inférieur., le fait que le client ne réponde pas à sa
demande, ne peut suffire à assurer le respect des obligations d’examen
renforcé. OPS aurait dû se renseigner auprès du client sur l’origine des fonds,
sur la destination des fonds, l’objet de l’opération et l’identité de la
personne qui en bénéficie. Par cette décision, l’ACPR juge insuffisant un
courrier et une relance au regard des obligations d’examen renforcé.
D’autres carences sont aussi constatées
sur le dispositif de contrôle interne. L’article 13 et 14 de l’arrêté du 3
novembre 2014 précise les exigences liées à l’organisation du contrôle
permanent. En effet, 25 des 77 contrôles permanents qualifiés de
« deuxième niveau » par OPS dans son plan de contrôle sont assurés
par son contrôleur interne, « qu’une part importante des autres
contrôles de ce niveau incombe soit à une consultante externe (21 contrôles)
placée sous la responsabilité de la directrice de production, soit à cette
directrice elle-même (9 contrôles) et au directeur adjoint des opérations (9
contrôles), qui dirigent des services opérationnels et non des services
exclusivement dédiés à la fonction de contrôle ». L’arrêté du 3
novembre 2014 prévoit la nécessaire adaptation du dispositif de contrôle
interne d’un organisme assujetti à sa classification des risques, à son
activité et à sa taille. Cependant, cette adaptation ne peut le conduire à se
dispenser des règles et principes définis par l’arrêté du 3 novembre 2014.
L’ACPR conclue que le contrôle interne de second niveau n’était pas exercé par
des agents dédiés à cette tâche, dont la stricte indépendance vis-à-vis des
unités exerçant des fonctions opérationnelles n’était dès lors pas assurée.
Le contrôle permanent du dispositif de
suivi et de surveillance des relations d’affaires[7]présente lui-aussi
des carences. OPS a, d’une part, « à 5 reprises, accepté des opérations que
ses procédures internes auraient dû la conduire à refuser parce qu’elles
étaient supérieures à ses seuils d’opération en boutique de 1 000 euros pour
les dépôts d’espèces par des tiers (une opération) et 12 000 euros pour les
remises de chèques (4 opérations) ; que, d’autre part, le franchissement du
seuil de 3 000 euros pour les dépôts d’espèces par un client n’a pas conduit,
dans deux cas, OPS à recueillir un justificatif de l’origine des fond ».
En ce qui concerne l’externalisation[8], les
organismes assujettis peuvent, dans certaines circonstances, confier à des
prestataires extérieurs de services les tâches d’exécution des contrôles qui y
sont effectués. L’article 238 dudit arrêté prévoit que « l’externalisation
d'activité : a) Donne lieu à un contrat écrit entre le prestataire externe et
l'entreprise assujettie (…). De plus, l’article 239 du même arrêté impose
notamment aux organismes assujettis que, dans leurs relations avec leurs
prestataires externes, ces derniers « e) Se conforment aux procédures définies
par l'entreprise assujettie concernant l’organisation et la mise en œuvre du
contrôle des services qu'ils fournissent ». Lors du contrôle sur place,
l’ACPR constate qu’aucun contrat n’avait été signé entre OPS et certains prestataires
qui réalisaient des prestations de services ou d’autres tâches opérationnelles
essentielles ou des tâches d’exécution des contrôles périodiques.
Un autre grief concerne les
obligations d’informations et de déclaration à Tracfin. OPS n’avait, au moment
du contrôle effectué aucune communication systématique d’informations depuis le
début de son activité alors même que certains clients avaient réalisé des
opérations en espèces supérieures au seuil réglementaire[9].
De plus, les organismes assujettis
sont obligés de faire une déclaration de soupçon [10]à
Tracfin lorsque « les sommes inscrites dans leurs livres ou les opérations
portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons
de soupçonner qu’elles proviennent d’une infraction passible d’une peine
privative de liberté supérieure à un an ou sont liées au financement du
terrorisme ». OPS n'avait pas, au moment du contrôle, déclarées les
opérations de 7 clients à Tracfin[11].
Pour terminer, l’article L 562-4 du
CMF impose un dispositif de filtrage en matière de gel des avoirs. Après
l’entrée en relation d’affaires, OPS n’effectue un filtrage de sa base
clientèle au regard des listes de personnes faisant l’objet d’une mesure de gel
des avoirs que selon une fréquence mensuelle, ce qui est jugée selon l’ACPR
comme une mesure « ne permettant pas une mise en œuvre immédiate des
mesures de gel des avoirs »[12].
Au final, les manquements retenus par
la Commission justifient, compte tenu de leur nature et de leur durée, le
prononcé d’un blâme. La circonstance qu’OPS a cessé son activité et sollicité
le retrait de son agrément n’est pas de nature à faire obstacle au prononcé
d’une sanction pécuniaire.
Malgré, la demande d’OPS de ne pas publier
la présente décision qui lui causerait un préjudice disproportionné, la
Commission juge qu’il est nécessaire au vu de l’engagement de l’OPS à la
déclaration Tracfin et donc les obligations dont elle avait le devoir de tenir,
de publier la décision malgré le préjudice causé.
[1] Grief 1
[2] L
561-5-1 du CMF
[3] Grief 2
[4] L 561-32
du CMF
[5] Grief 3
[6] Grief 4
[7]
L’article 71 de l’arrêté du 3 novembre 2014
[8]
L’article 21 de l’arrêté du 3 novembre 2014
[9] Grief 8
[12] Grief 10
Commentaires
Enregistrer un commentaire