L’ACPR publie un rapport sur les dispositifs de surveillance des opérations
BLL est expert en conformité réglementaire et AML officer au sein d’un cabinet de conseil spécialisé en Sécurité Financière. Il a travaillé en coopération avec établissements financiers internationaux.
L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a publié ce mercredi 26 avril un rapport dédié à la LCB-FT, consacré à l’usage de dispositifs automatisés de surveillance des opérations par les établissements financiers. Ce document fait suite à une revue thématique conduite par l’Autorité, qui indique avoir sollicité 36 groupes et entités contrôlées (via l’envoi d’un questionnaire) couvrant l’ensemble des lignes métiers et types d’établissements assujettis : banques, organismes d’assurance, fintechs, etc. (à l’exception cependant des PSAN).
Les publications transversales relatives aux pratiques du secteur en matière de LCB-FT étant plutôt rares, on ne peut que se réjouir de cette initiative. Dès lors, que peut-on tirer de ce travail?
Un brève mise en garde s’impose toutefois : cette publication ne revêt évidemment d’aucun caractère règlementaire ni ne prétend identifier des « bonnes pratiques ». Il s’agit d’un document analytique des méthodes et organisations en vigueur, manifestement fondé sur des données déclaratives – le rapport ne repose pas sur une série de contrôles et de constats du régulateur. Il est donc intéressant pour sa dimension descriptive, contribuant à une sorte d’état des lieux de la surveillance des opérations. C’est précisément ce qui est indiqué en synthèse du rapport (page 3) : « L’objectif de cette revue est de dresser un état des lieux du fonctionnement et des performances des outils de surveillance des opérations […]. Le document ne se prononce pas sur la conformité à la réglementation des pratiques décrites ».
Un usage systématique des outils automatisés
Sans surprise, on apprend que l’usage d’outils informatiques dédiés à la surveillance automatisée des opérations est généralisé à l’ensemble des acteurs sollicités, et s’appuie essentiellement sur des solutions de marché. Cette surveillance est toutefois complétée par des requêtes supplémentaires hors outil pour une majorité des établissements – cela correspond en effet à une pratique courante pour identifier certaines opérations ou traiter de lignes d’activités spécifiques. Le rapport n’est hélas pas très précis sur la répartition de ces usages.
Outre les outils automatisés, tous les établissements indiquent également s’appuyer sur une surveillance humaine supplémentaire. L’identification de facteurs de risque de BC-FT par les agents est une pratique préconisée, notamment pour détecter des comportements individuels à risque et qui ne reposent pas sur des comportements économiques. Ce point est depuis longtemps un argument utilisé par les banques de détail traditionnelles pour justifier de la solidité de leur dispositif par rapport aux banques en lignes, supposées plus « éloignées » de leur clientèle. Les chiffres avancés par le document de l’ACPR sont toutefois étonnement élevés : « au sein des grands groupes bancaires, la proportion des DS d’origine manuelle varie mais représente toujours une proportion significative, entre le tiers et les deux tiers du nombre total de déclaration » (page 5).
Des écarts de pratiques notables
On constate dans le rapport des écarts de pratiques assez significatifs : citons notamment le fait que certains établissements (que l’on imagine d’envergure plutôt faible) traitent systématiquement leurs alertes en examens renforcés, que les taux de conversion des alertes vers les examens renforcés varient entre 1% et… 70%, et que les moyens financiers consacrés à la surveillance des opérations oscillent entre quelques centaines de milliers d’euros et plusieurs millions.
Le document mentionne également le recours très limité à l’intelligence artificielle, dont les applications effectives pour renforcer la surveillance des opérations ne sont encore que théoriques. Plusieurs établissements indiquent vouloir développer cet usage, mais à ce stade il s’agit certainement plus d’une stratégie de communication que de projets concrets.
La fréquence de l’usage des outils: un point sensible qui confirme les écarts entre théorie et pratique
Un point important est abordé (à partir de la page 8) sur la fréquence de sollicitation des outils : il est indiqué que les fréquences les plus courantes sont quotidiennes, hebdomadaires ou mensuelles selon le type d’opérations ou de cumuls d’opérations surveillées. Cet aspect est important dans la mesure où la règlementation est ambigüe sur ses attentes à ce sujet ; S’il est en principe requis d’effectuer une déclaration « préalablement à l’exécution de la transaction », l’analyse des opérations nécessite dans les faits une détection et une investigation qui requiert toujours un temps relativement long. Les fréquences de détection soulignées dans ce rapport tendent donc à confirmer que dans la majorité des cas, l’usage est de surveiller les opérations à posteriori de leur exécution – en particulier dans le cas de scénarios reposant sur des cumuls d’opérations ou des variations comportementales. Il est d’ailleurs souligné que « les alertes bloquantes paraissent uniquement associées aux filtrages visant les risques associés à certains pays ou la mise en œuvre des dispositifs de sanctions financières ciblées » (page 9).
Le traitement des alertes: des pratiques diverses
Un chapitre du rapport est consacré aux différentes pratiques relatives au traitement des alertes (à partir de la page 14). Les pratiques diffèrent selon les cas : les alertes sont parfois traitées en premier niveau directement par le Front Office, parfois par des équipes spécialisées. En général, les alertes sont traitées en second niveau par des équipes de la Conformité, qui reviennent vers les opérationnels si nécessaire. Plus intéressant : on apprend que la majorité des établissements sollicités ont déployé des critères permettant de prioriser le traitement de certaines alertes. Ces critères peuvent notamment reposer sur le scoring du client ou le type d’alerte (notamment s’agissant du financement du terrorisme).
Cryptoactifs, clients non résidents: quelques angles morts dans la surveillance des opérations
L’ACPR mentionne enfin brièvement quelques pratiques peu fréquentes et qui mériteraient d’être davantage développées. En particulier, les scénarios dédiés à la comparaison des opérations avec les ressources du client sont peu utilisés, de même que la surveillance de certaines pratiques à risque (usage de cryptoactifs, focus sur les clients non-résidents, comparaison de groupes de pairs – ce qui peut notamment être pertinent pour analyser la cohérence des opérations de certains commerçants au sein d’un même secteur d’activité ou selon un proximité géographique). Ces scénarios, présentés comme « efficaces », s’avèrent manifestement peu répandus.
Les autres sections du rapport portent notamment sur les mesures de pilotage des outils de surveillance des opérations (indicateurs de performance, procédures de révision des scénarios, etc.), les dispositifs de contrôle interne ou encore les mesures de poursuite de l’activité.
Dans les grandes lignes, ce rapport du régulateur ne nous fournit pas beaucoup d’éléments nouveaux et se montre relativement peu précis dans ses informations. Il constitue toutefois un travail assez inédit dans sa nature et dans son ampleur, qu’on ne peut que saluer. Surtout, il pourrait mener à terme à l’élaboration de lignes directrices sur ce sujet, rédigées par l’ACPR en collaboration avec Tracfin. Une telle publication constituerait un vrai pas en avant pour la précision des attendus en matière de surveillance des opérations et pourrait contribuer à une harmonisation des pratiques en la matière. Wait and see, donc.
Le rapport est accessible en téléchargement en suivant ce lien.
BLL