Quelles sont les principales défaillances constatées au sein des organismes financiers ? Quels sont les enjeux et les défis pour 2023 ?
Nous vous proposons à travers cet article de revenir sur l’année 2022 en analysant les sanctions prononcées à l’encontre des institutions financières supervisées par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).
En 2022, la Commission des sanctions de l’ACPR a prononcé 7 décisions allant du blâme assorti d’une sanction pécuniaire pour la plupart des cas, jusqu’à l’interdiction d’exercer une activité pour le cas le plus sévère. Au total, il s’agit de plus de 14 millions d’euros d’amendes infligées à des institutions financières pour manquement à leurs obligations règlementaires. Le secteur de l’assurance représente cette année 9 millions d’euros, soit environ 60% de l’ensemble.
A titre de comparaison en 2021, 11 décisions de la Commission des sanctions avaient été prononcées pour un montant total de près de 17 millions d’euros d’amendes.
Parmi les défaillances identifiées à travers les 39 griefs retenus en 2022 (contre 99 en 2021), nous retrouvons des sujets récurrents tels que le KYC et l’obligation de vigilance constante à l’égard de la clientèle. Concernant les autres thèmes majeurs visés par le régulateur on retrouve la protection de la clientèle et la gestion des contrats en déshérence (thématique quelque peu absente des sanctions depuis 2015).
Eléments essentiels dans la lutte contre le blanchiment de capitaux et le financement du terrorisme, la connaissance client ou KYC (Know Your Customer) ainsi que la vigilance constante représentent un défi majeur pour l’ensemble des institutions financières.
Le régulateur a relevé, au sein de plusieurs établissements financiers, des carences en matière de surveillance et de suivi des opérations. En effet, le paramétrage des outils de filtrage des opérations financières a été plusieurs fois jugé inadapté et/ou incomplet au regard des risques exposés. Ainsi, l’ACPR a, lors de ses contrôles, identifié plusieurs dossiers qui auraient dû faire l’objet d’un examen renforcé voire d’une déclaration de soupçon (DS) auprès de Tracfin. A cet égard, la Commission a rappelé que, dans un dispositif de détection des opérations atypiques, les seuils de surveillance utilisés doivent, pour être pertinents, être fixés à des niveaux suffisamment proches du montant moyen des opérations exécutées.
L’ACPR a également souligné l’importance de disposer d’informations exhaustives et actualisées sur la situation des clients ainsi que ses parties liées (représentants, mandataires et bénéficiaires effectifs). A titre illustratif, l’un des établissements sanctionnés ne collectait pas d’informations relatives à la situation professionnelle et au revenu de ses clients particuliers lors de l’entrée en relation. Par conséquent, ce dernier n’était pas en mesure de rapprocher le montant des transferts par rapport aux revenus et d’apprécier le caractère atypique des opérations.
La détection de clients dits risqués a également fait l’objet de plusieurs griefs avec notamment des cas de filtrage partiel de la base clientèle visant à identifier les Personnes Politiquement Exposées (PPE) ou personnes frappées par des mesures de gel des avoirs.
Cette année, les sanctions concernent uniquement les organismes d’assurance et intermédiaires en assurance ou en investissement, même si les établissements bancaires sont également tenus aux devoirs d’information et de conseil de leurs clients (opération de crédit par exemple).
Ces obligations visent à réduire les risques liés à l’asymétrie d’information qui peut exister entre un professionnel et son client. Ainsi en matière de produit bancaire et assurantiel, les clients, et en particulier les clients dits vulnérables[1] ne disposent pas forcément des connaissances nécessaires afin d’apprécier les avantages, inconvénients et risques d’un produit financier.
En 2022, l’ACPR s’est appuyé sur le code de l’assurance et du code de la consommation pour infliger une sanction forte en prononçant l’interdiction d’exercer l’activité d’intermédiation en assurance à l’encontre d’une société, mais aussi à l’encontre de ses deux gérants.
Au-delà de la sévérité de la sanction, la Commission s’inscrit dans une démarche pédagogique. En effet la société en question avait dans le passé déjà fait l’objet de contrôles qui avaient fait ressortir plusieurs manquements, manquements qui avaient perduré au moment des derniers contrôles.
L’ACPR a ainsi constaté que les documents d’information avant souscription du contrat n’avaient pas été envoyés aux clients pour 64% des ventes en raison de la non-saisie de l’adresse électronique. Fait aggravant, parmi ces cas de défaillance, la souscription de contrat a été enregistrée dans les systèmes via la saisie par les téléopérateurs, de l’adresse électronique de la société en lieu et place de celle des clients. Dans certains cas, les documents précontractuels n’avaient même pas été communiqués aux clients.
Cette situation est loin d’être un cas isolé, d’autres griefs révèlent par exemple dans d’autres établissements, une communication uniquement partielle des informations utiles, ou une insuffisance dans le recueil des besoins du client ainsi que la proposition de produits sans motivation réelle.
A travers ces sanctions, l’ACPR rappelle que la préservation des intérêts des épargnants et des consommateurs doit être au cœur de l’activité des établissements assujettis. L’ACPR invite les institutions financières à revoir tout le processus de commercialisation, depuis la conception des produits jusqu’au traitement des réclamations en passant par la formation des commerciaux et le dispositif de prévention des conflits d’intérêt. Le sujet de la protection de la clientèle sera très certainement encore suivi par le régulateur en 2023.
Concernée par 18% des griefs, la gestion des contrats en déshérence est remise en lumière en 2022 par l’ACPR après avoir fait l’objet de précédents contrôles en 2014 et 2015. Avec toujours en toile de fond la préservation des intérêts des consommateurs, la gestion des contrats en déshérence est encadrée par la loi « Eckert »[2] relative à la gestion des comptes inactifs et des contrats d’assurance vie en déshérence.
L’ACPR souligne l’importance de disposer de moyens humain, technique et financier afin de se conformer aux exigences réglementaires qui incombent aux établissement assujettis. L’ACPR reproche dans la plupart des griefs une insuffisance dans l’identification des assurés décédés et dans la recherche des bénéficiaires.
L’ACPR pointe également d’importantes lacunes dans les mesures mises en œuvre dans l’identification et la gestion des comptes. En effet, elle déplore que le dispositif pâtisse de l’usage limité de moyens de contacts alternatifs au courrier comme les contacts téléphoniques ou par messagerie électronique. Dans un autre cas, un établissement a transféré à tort des fonds à la Caisse Des Consignations bien qu’un autre compte au nom du client demeurait actif dans les livres de l’établissement.
L’ACPR rappelle que l’inactivité d’un compte ne saurait suffire à caractériser celle d’un autre compte et que pour que l’inactivité d’un compte d’épargne salariale soit susceptible d’être caractérisée à l’issue d’un délai de cinq ans, il est nécessaire que, pendant ce délai, aucune opération n’ait été effectuée sur aucun compte détenu dans les livres de l’établissement par le même client.
Quelles sont les prochains défis auxquels les institutions financières seront confrontées en 2023 ? Assurément, les enjeux de LCB-FT resteront dans la ligne de mire de l’ACPR.
Bien que le rapport du GAFI[3] mette en avant l’efficacité au niveau national des dispositifs KYC, plusieurs défis attendent les établissements en particulier les aspects techniques et opérationnels. Les organismes devront adapter leurs moyens humains et financiers aux risques auxquels ils s’exposent. Ces éléments devront permettre d’assurer la collecte de la connaissance actualisée des clients mais également de renforcer les mesures de surveillance des opérations financières, notamment dans un climat géopolitique évolutif. Dans ce contexte, la résilience des établissements sera mise à l’épreuve notamment concernant la robustesse de leurs dispositifs de gel des avoirs, criblage et filtrage ainsi que leur capacité à réagir de manière appropriée sans délai face à toute évolution.
Pour la première fois la Commission des sanctions de l’ACPR a fait état de l’utilisation d’un outil s’appuyant sur des technologies d’Intelligence Artificielle (LUCIA : Logiciel à Usage du Contrôle assisté par l’Intelligence Artificielle). Il s’agit pour le superviseur d’une « démarche exploratoire » permettant de traiter une masse importante de donnée. On parle ainsi de l’analyse de plus de 750 millions d’opérations de paiement effectuées par la clientèle sur 2,5 années, équivalent à 540 GB de données.
Outre une capacité de traitement renforcée, l’usage de la technologie d’IA répond à plusieurs défis, notamment la possibilité d’exploiter la donnée brute non structurée et de présélectionner plus finement des dossiers répondant à des critères définis.
Les établissements assujettis doivent se tenir prêts à un usage plus systématique de ces nouvelles technologies par les missions de contrôle de l’ACPR qui couvriront des échantillons élargis (période d’échantillonnage et profondeur de données).
En ce début d’année 2023, l’ACPR donne déjà une orientation des prochains points d’attention. A l’issue d’une enquête réalisée en 2022 auprès de 12 prestataires de services de paiements (PSP), l’ACPR a averti sur le risque représenté par la clientèle mineure (entre 12 à 17 ans), pour laquelle les offres bancaires se sont multipliées ces dernières années. Sur le panel interrogé par l’ACPR, il en ressort une augmentation nette de 15% du nombre de comptes bancaires détenus par des clients mineurs entre 2020 et 2021, soit au total 1,1 millions de comptes bancaires.
Bien que les produits bancaires proposés aux clients mineurs ne permettent généralement pas les découverts financiers, l’ACPR incite les établissements concernés à rester vigilants et veiller à la préservation du patrimoine de leurs clients en révisant leurs politiques de distribution de moyens de paiement et en renforçant leurs dispositifs de contrôle. En termes de bonne pratique, il s’agira de mettre en œuvre des diligences spécifiques visant à prévenir des opérations atypiques à l’égard de cette clientèle. Par exemple, si la séparation des parents est portée à la connaissance de l’établissement, il convient de recueillir l’autorisation conjointe des parents pour toute opération débitrice à l’initiative d’un seul représentant légal[4].
Outre l’ACPR, d’autres autorités de contrôle sanctionnent des établissements financiers et/ou non financiers sur différents thèmes relevant de leur périmètre de supervision.
On retrouve notamment la CNIL (Commission nationale de l’informatique et des libertés) qui agit dans la protection des données et qui a prononcé 21 sanctions (dont 13 rendues publiques) en 2022 pour un montant total de 101,3 millions d’euros. Les décisions de sanction ont concerné des secteurs d’activité, des thématiques et des acteurs très divers. Parmi les manquements les plus fréquents figurent le défaut d’information des personnes, le non-respect de leurs droits et le défaut de coopération avec la CNIL[5]. Le secteur financier n’est pas concerné par les sanctions rendues publiques par la CNIL en 2022.
L’Autorité des Marchés Financiers (AMF) – qui agit dans la protection de l’épargne investie en produits financiers, l’information des investisseurs et le bon fonctionnement des marchés – a publié 12 sanctions en 2022, pour un montant total de 6,3 millions d’euros. Les thèmes des sanctions prononcées par l’AMF en 2022 couvrent les obligations professionnelles (33%), les investissements financiers ou participatifs (33%), la manipulation de marché (17%) et le manquement d’initié (17%).
A l’instar de l’ACPR, les autorités de contrôle des institutions financières européennes ont également prononcé des sanctions en 2022. On observe par exemple 40 sanctions émises par la Commission de Surveillance du Secteur Financier (CSSF) Luxembourgeoise ou encore 24 par l’Autorité des services et marchés financiers (FSMA) Belge.
[1] Selon l’ACPR, peut être considéré comme vulnérable toute personne qui, du fait de sa situation personnelle conjoncturelle ou durable, ou de pratiques commerciales déloyales, est dans l’incapacité de faire face sereinement à ses problématiques financières, de protéger ses intérêts et de bénéficier d’un choix de produits adaptés suffisants
[2] Loi n° 2014-617 du 13 juin 2014
[3] https://www.fatf-gafi.org/fr/publications/evaluationsmutuelles/documents/rem-france-2022.html
[4] Communiqué de presse de l’ACPR : 20230110_cp_acpr_offres_bancaires_mineurs.pdf (banque-france.fr)
[5] Bilan de la CNIL : Sanctions et mesures correctrices : la CNIL présente le bilan 2022 de son action répressive | CNIL
Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…
Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…
Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…
Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…
Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…
Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…