Par Frédéric Picard et Théo Renaudie
Le gendarme bancaire a prononcé un blâme et une sanction pécuniaire de 2,5 millions d’euros à l’encontre de BNP Paribas Cardif en raison de graves dysfonctionnements de ses systèmes de lutte contre le blanchiment de capitaux et le financement du terrorisme. Principal manquement : un logiciel anti-fraude incomplet et mal paramétré. Explications.
À propos de la décision ACPR du 29 avril 2021, n°2020-03,
Entre 2018 et 2019, l’Autorité de contrôle prudentiel et de résolution de la Banque de France (ACPR), notamment chargée de la lutte contre le blanchiment des capitaux et le financement du terrorisme, a effectué des contrôles au sein de Cardif Assurance-Vie, filiale du groupe BNP Paribas dédiée à l’assurance.
1. Un logiciel de détection aux nombreux angles morts
Lors de ces contrôles, l’ACPR a constaté de graves dysfonctionnements du logiciel anti-fraude mis en place en 2015.
Tout d’abord, le bon accomplissement des obligations réglementaires nécessite, pour une Banque, la surveillance large et croisée des opérations réalisées tant au regard de l’origine des capitaux que des revenus des clients.
Or, l’enquête révèle que Cardif ne procède pas de manière systématique au recueil des informations patrimoniales de ses clients et que son système ne croise pas toujours les opérations inhabituelles avec les données de leurs bénéficiaires.
L’ensemble des scénarios de blanchiment ou de financement du terrorisme n’était donc pas couvert par le logiciel de détection alors que Cardif gère une clientèle fortunée pouvant présenter des risques élevés de blanchiment nécessitant une vigilance renforcée.
2. Un bug initial ralentissant le traitement des alertes
Par ailleurs, alors que le logiciel ne pouvait remonter que peu de signalements, le mauvais paramétrage du logiciel et le nombre de clients de la société d’assurance a presque immédiatement saturé le système. À son lancement en 2015, le logiciel remonte immédiatement plus de 30 000 alertes dont seulement 9 999 peuvent être affichées pour être traitées.
Ce bug informatique a fortement entravé le traitement des alertes ainsi que les signalements éventuels à Tracfin. L’ACPR donne un dossier en illustration : Un chef d’entreprise monégasque au patrimoine de 10 millions d’euros et aux 935 000 euros de revenus a procédé à un versement de 4 millions d’euros sur une assurance-vie qu’il a retiré 4 mois plus tard. Tant la provenance originale des fonds que la justification du retrait aurait dû être demandée au client : la société d’assurance fait grief à Cardif de n’avoir réclamé que la seconde et a posteriori. Alors que cette opération nécessitait, sans délai, d’effectuer une déclaration de soupçons (DS) à Tracfin, la banque n’a pas donné suite.
L’ACPR relève ainsi que « près d’un an après la mise en place du projet [visant à résorber la masse d’alertes créé par le bug initial], leur stock s’élevait encore à 11 945 alertes en janvier 2018. Enfin, le délai moyen de traitement des alertes est resté élevé en 2017 (112 jours), malgré une diminution (269 jours en 2016). En conséquence, les délais moyens d’envoi des DS à Tracfin, déjà élevés, ont encore progressé en 2017 ».
3. Un gel des avoirs et une remédiation inefficaces
Enfin, les banques doivent s’appliquer à faire respecter le gel des avoirs prononcé à l’encontre des personnes notamment soupçonnées de terrorisme. Or, le logiciel mis en place par Cardif ne fonctionnait qu’à condition que le nom donné pour le gel soit strictement identique (« exact match ») à celui présent au fichier client : les petites erreurs/différences orthographiques suffisaient donc à enrayer le système.
Pour le gendarme bancaire, ces multiples manquements sont d’autant plus graves que « Créée il y a près de 50 ans, Cardif figure parmi les leaders sur le marché français de l’assurance et dispose de moyens humains, par l’intermédiaire du GIE BNP Paribas Cardif, et de moyens financiers qui auraient dû permettre un strict respect de ses obligations ».
Par ces motifs, l’ACPR a prononcé un blâme à l’encontre de la société Cardif Assurance-Vie et une sanction pécuniaire de 2,5 millions d’euros. La décision a été assortie d’une publication pour 5 ans au registre de l’ACPR.
Cette décision n’est toutefois pas définitive et peut faire l’objet d’un recours de la part de la société d’assurance dans un délai de 2 mois.
* * *
Riche d’une expérience de plus de 20 ans dans la compliance à la réglementation de Lutte contre le blanchiment et le financement de capitaux et à la réglementation des Données personnelles, le Cabinet HAAS Avocats a été élu meilleur cabinet 2021 au palmarès Le Point et Le Monde du Droit dans la catégorie Droit des nouvelles technologies. N’hésitez pas à nous contacter pour vous mettre en conformité.
