Rédaction WEB : JUST DEEP CONTENT

Pour mettre en œuvre un programme de conformité, il convient d’identifier préalablement les obligations réglementaires que l’on doit couvrir et procéder ensuite au choix des outils les mieux adaptés à ses besoins.

Les obligations et besoins sont définis en fonction de la réglementation LCB-FT en vigueur, de l’évolution perpétuelle de ce socle réglementaire, ainsi que des règlementations anti-corruption telles que la loi Sapin II.

Les moyens devant être mis en œuvre dépendent fortement du domaine d’activité, de la taille de l’entreprise assujettie, de la classification de la relation client (occasionnelle ou régulière).

Une fois qu’un dispositif cible est défini, éventuellement après recours à des cabinets spécialisés pour l’accompagnement dans la définition des besoins conformité, se pose ensuite le choix crucial des outils à mettre en œuvre.

• Outils de conformité : objectifs et périmètre
• Outil de conformité : les fonctionnalités indispensables
• Outil de conformité : les challenges à venir

outils de conformité : objectifs et périmètre

Avant de choisir ses outils de Conformité, il est indispensable de bien en mesurer les objectifs et connaître les domaines à couvrir.

lcb-ft, lutte contre la corruption : quels sont les objectifs des outils de conformité ?

Ces outils doivent s’intégrer dans le dispositif global (organisationnel, procédural, technique …) des sociétés assujetties afin de permettre :

• l’identification des tiers

• la vérification de l’identité des tiers, voire l’enrichissement des données

• la classification des risques

• la mise en place et suivi des mesures de vigilance renforcée

• la mise en place et suivi des mesures de gel des avoirs

• la déclaration et information aux autorités compétentes (ex: TRACFIN)

• la conservation de toutes les diligences, décisions… effectuées sur un tiers

In-fine, les outils mis en place par une société assujettie doivent permettre une application précise de la politique conformité décidée en fonction des obligations légales mais également de l’appétence aux risques de chacun.

Ces dispositifs sont soumis à un contrôle permanent ainsi qu’à des audits réguliers. Des comptes doivent être rendus à de nombreuses personnes ayant des rôles différents et objectifs différents (responsables opérationnels, management board, inspection générale, auditeurs, régulateurs…).

Certaines de ces personnes mettent en jeu leur responsabilité pénale vis-à-vis des obligations que doivent remplir leur(s) dispositif(s) LCB-FT et anti-corruption.

Rappel : LCB-FT, Origine règlementaire et cadre actuel 

Historique :

Initiée vers les années 1990 avec les premières recommandations issues du Groupe d’Action Financière (GAFI), la lutte financière contre le blanchiment des capitaux est devenue un sujet mondial et prioritaire après les attentats du 11 septembre 2001. Aux États-Unis le « Patriot Act » d’octobre 2011 a été les prémices de nombreuses obligations à travers le monde (directives européennes, dispositifs nationaux, nouvelles recommandations du GAFI/FATF…). La crise financière de 2008 a conduit à une extension des domaines de conformité, notamment avec la prise en compte du risque systémique du secteur financier.

À l’origine, les réglementations anti-blanchiment ciblaient principalement l’activité de trafic de drogue et concernaient exclusivement les banques et les établissements financiers. Depuis, les activités criminelles visées par les réglementations se sont considérablement élargies. Le périmètre des acteurs concernés a également été très notablement étendu.

Les règlementations et législations françaises sont issues principalement des règlements EU et des Directives européennes retranscrites ensuite en droit français (code monétaire et financier, code pénal, code du commerce…).

D’autres instances, organismes ou régulateurs se sont insérés dans la sphère internationale : BCE, Nations Unies, GAFI/FATF, Trésor Américain (OFAC) et son extra-territorialité …

Le périmètre des secteurs assujettis s’est élargi au secteur financier (banques, établissements de crédit…), au secteur non-financier dit Gatekeeper  (professions du chiffre, experts-comptables, commissaires aux comptes,… ), aux professions du droit (avocats, huissiers, notaires …) et autres professions (agents Immobiliers, casinos, commissaires-priseurs,…).

Impacts pour le secteur bancaire :

Les banques et les établissements financiers sont donc depuis l’origine le bras armé de cette lutte contre le blanchiment de capitaux et contre le financement du terrorisme.

Les organes de contrôles et de régulation ont été constitués pour donner un cadre juridique, permettre le suivi et le contrôle des mesures demandées au secteur financier.

• L’AMF et l’ACPR pour la France,

• La BCE pour les établissements systémiques européens.

Pour le secteur financier, cela s’est traduit par de véritables transformations aux niveaux organisationnel, procédural, et de l’outillage.

L’arrêté du 3 Novembre 2014 a réglementé les fonctions de contrôle permanent et de conformité.

Le dispositif organisationnel de la banque s’est articulé autour de 3 lignes de défense (LOD – Line Of Defense) pour mettre en œuvre un programme LCB-FT efficace :

• LOD1 – les métiers en contact de la clientèle et/ou de leurs activités et transactions

• LOD2 – les départements Conformité et Risques

• LOD3 – les départements Audit et Inspection Générale

En termes de responsabilité, le responsable de la conformité est pénalement responsable au premier chef, ainsi que le responsable de l’établissement.

Méthodologie de mise en œuvre :

Les fondements du dispositif LCB-FT repose sur 3 piliers :

• une cartographie des risques pour identifier les secteurs, départements, activités impactées

• une approche par les risques qui doit permettre de définir la politique à mettre en œuvre

• le contrôle par une autorité de tutelle

Le cadre procédural et l’outillage IT (Information Technology) sont indispensables et prioritaires compte tenu de la multiplicité des départements impliqués et de la complexité des procédures. Les contrôles conformité demandés doivent être mis en œuvre, mais également les contrôles permettant de s’assurer de leur application effective et de leur pertinence, ainsi que le reporting induit. On peut résumer ainsi les obligations à pourvoir :

• mettre en œuvre le programme de conformité

• vérifier son exécution périodique (journalière, mensuelle, annuelle)

• vérifier sa pertinence, corriger les anomalies, le modifier et l’évaluer

• rendre compte à la hiérarchie et aux autorités de contrôle

outils de conformité : identification des domaines lcb-ft et anti-corruption à couvrir

Les domaines de conformité à couvrir vont mécaniquement définir les outils et fournisseurs potentiels. Chaque thème définit des acteurs et des solutions généralement tous différents. Les sujets principaux sont :

• le profilage client

• le criblage client

• le filtrage des transactions

• le monitoring des transactions

• la surveillance des opérations de marché

Nous ne mentionnons pas à dessein les outils de type anti-fraude ou cyber sécurité qui sont à la marge des problématiques purement conformité. Ces sujets sont généralement adressés par des services différents au sein des grandes entreprises assujetties, comme dans le milieu bancaire par exemple.

• Profilage Client

Le profilage client est une brique du dispositif KYC (Know Your Customer) visant, tout d’abord, à identifier le tiers. Cela se traduit par la collecte de documents officiels et d’informations (généralement déclarées par le tiers lui-même).

L’étape suivante est de vérifier la véracité et la validité de ces informations et documents.

Grâce à des sources externes, en plus de contrôler les informations collectées, il est possible d’enrichir ces données. Par exemple, lorsque le tiers est une société, des fournisseurs gouvernementaux de données permettent d’obtenir de nombreuses informations telles que : la forme juridique, le capital social, les adresses des différents établissements … mais également les personnes physiques représentants légaux et/ou bénéficiaires effectifs desdites sociétés.

Cela permet ensuite de définir le risque de blanchiment et de sécurité financière du client existant ou à intégrer. Il se fait par analyse des différents critères (nationalité, activités professionnelles, exposition au risque, zones géographiques …) qui conduit mécaniquement à un scoring conformité (traditionnellement un indicateur vert-orange-rouge). Ce scoring vise à définir les procédures, l’organisation et les outils à mettre en œuvre pour le suivi des clients.

• Criblage Client

Le criblage client, quant à lui, a pour objectif d’identifier si le tiers en question fait l’objet d’un programme national ou international de gel des avoirs, si la personne est politiquement exposée (ou proche de quelqu’un exposé politiquement) ou encore si la personne fait courir un risque de réputation pour l’entreprise. Il se fait par comparaison de l’identité du client (généralement son nom, prénom, date et lieu de naissance) par rapport à des listes prévues à cet effet.

Cette comparaison ne doit pas se faire sur une similitude « stricte » mais à travers de la « logique floue ». D’ailleurs l’ACPR n’a pas hésité, lors d’une de ses dernières sanctions (ACPR Commission des sanctions – Procédure n°2020-06 – Grief N°11) , à considérer comme un grief fondé qu’une logique floue avec un seuil de détection ou ressemblance à 99% contre des listes de Personnes Politiques Exposées était trop restrictive et ne permettait donc pas une détection efficace.

Le criblage client doit également identifier si le tiers est en relation avec un pays sous embargo ou sous vigilance. Cette identification doit être assez précise afin de se baser sur des données cohérentes (lieu de naissance, lieux de résidence, pays de résidence fiscale, nationalités …)

Le criblage client vise à préciser le profilage client et notamment le scoring de risque.

Ce criblage doit se faire à l’entrée en relation mais également de manière régulière afin de prendre les mesures nécessaires dans un délai très court. Les listes « gels des avoirs / sanction », Personnes Politiquement Exposées (PPE), risque de réputation, pays à risques… évoluent régulièrement. Le régulateur accorde communément un délai de 48 heures entre la parution des nouveaux noms dans les listes électroniques et la re-criblage complet de la base client par l’entreprise.

• Filtrage des transactions

Le filtrage des transactions est une obligation LCB-FT visant à vérifier que la transaction du client n’est pas soumise à sanction internationale (contrepartie sous sanction) ou à embargo commercial (restriction d’activité pour certains pays).

Le filtrage des transactions doit être effectué en temps-réel. En effet, en cas d’alerte avérée, la transaction doit absolument être bloquée avant que les fonds ne soient virés.

Le filtrage brut des transactions peut être complété par des outils complémentaires renforçant le dispositif de détection afin de palier, par exemple, toute fraude interne visant à contourner le moteur de détection principal.

• Monitoring des transactions

Le monitoring des transactions vise plutôt à identifier des risques de blanchiment ou des transactions anormales en rapport avec les habitudes du client. Cette surveillance des transactions s’effectue aujourd’hui majoritairement a posteriori.

Par exemple des opérations de débit / crédit d’un montant bien supérieur aux ressources du client est un indicateur avancé d’un soupçon de blanchiment.

Le monitoring des transactions s’opère sur la base de scénarios, codés généralement sous forme de règles dans les outils de détection LCB-FT. La pertinence d’un outil de monitoring des transactions s’évalue également par rapport à la capacité de l’entreprise à ajouter de nouveaux scénarios basés sur des cas réels de tentatives de blanchiment auxquelles l’entreprise est confrontée.

• Surveillance des opérations de marché

Enfin la surveillance des opérations de marché est une activité très spécifique qui vise à s’assurer de la conformité des opérations et déceler par exemple des manipulations de cours ou des délits d’initiés. Elle ne concerne que des entreprises du milieu bancaire ou financier.

Source : Aurélien Zachayus, AP Solutions IO – pour l’ESBanque

outil de conformité : les fonctionnalités indispensables

Un outil de conformité digne de ce nom doit assurer des fonctionnalités de base indispensables pour permettre de valider l’ensemble du dispositif de conformité mise en œuvre par l’entreprise.

traçabilité et piste d’audit conformité

La piste d’audit est obligatoire et permet de tracer toutes les opérations effectuées au travers de l’outil.

Sans piste d’audit, l’entreprise assujettie n’est pas en mesure de prouver au régulateur qui l’auditionne les actions qu’elle a mises en œuvre et démontrer la pertinence de son dispositif vis-à-vis de la politique conformité « théorique » qu’elle a décrite dans ses procédures. Ce point est essentiel.

définition de la politique conformité

Un outil n’est que le reflet opérationnel de la politique de sécurité financière que met en place l’entreprise.

Un outil de conformité doit permettre d’enregistrer les critères et les règles qui définissent l’appétence au risque. Il est difficile, sans cette fonctionnalité, de prouver au régulateur que les outils répondent à l’objectif défini.

La souplesse de paramétrage d’un outil est donc primordiale. On utilise communément le terme de « Model Validation » pour définir cette cohérence.

gestion des listes de conformité

Les autorités de contrôles sont extrêmement vigilantes sur la fréquence de mise à jour des différentes listes (sanction / gels des avoirs, PPE / RCA (Relatives and closes associates)…). Elles vérifient également les contrôles opérés durant ces mises à jour, afin de s’assurer de la pertinence, de la qualité et de l’exhaustivité de ces listes.

sécurité du système

Les obligations RGPD (Règlement Général sur la Protection des Données) ont mis en exergue les risques que font peser sur l’entreprise un outil ne répondant pas aux critères de sécurité demandés.

Il peut s’agir d’accès non autorisés, de fuite de données, d’indisponibilité du système et interruption de service, de perte de données, d’annulation des procédures de type déclaration de soupçon si les personnes en sont averties, entre autres risques.

pertinence de scores et des détections

Les outils de conformité définissent des scores et remontent des alertes qui sont autant d’input pour des systèmes types GRC (Governance Risk and Compliance) ou KYC (Know Your Customer).

Des scores imparfaits aboutissent à la mise en œuvre de procédures de contrôle inadaptées. Des alertes non pertinentes engorgent les services en charge de leur qualification et peuvent augmenter le risque conformité intrinsèque.

Les algorithmes codés dans les outils doivent être pertinents et efficaces. La pertinence des détections va optimiser le temps et les ressources nécessaires aux équipes conformité pour revoir les alertes et procéder aux contrôles demandés par les scores.

performance de l’outil conformité

Ce point n’est pas à négliger car les piètres performances d’un outil en regard des volumes que soumet l’entreprise (nombre de clients, nombre de transactions) peuvent ralentir ou interrompre l’exécution des contrôles conformité.

Le risque opérationnel devient dans ce cas un risque conformité. Et l’entreprise peut être mise en défaut d’exécution.

inter connectivité de l’outil conformité

Le temps est révolu des systèmes monolithiques imposant leurs propres format, fermé aux autres applications et ne respectant pas les standards IT (Information Technology).

Le marché à laisser place aux systèmes SaaS (Software as a Service), bâtis autour d’APIs (Application Programming Interface) programmables, ouverts vers l’extérieur, respectant les derniers standards Web (Web Services par exemple).

Un outil de ce type minimise les phases projets d’intégration, permet à l’entreprise de choisir des outils ciblés et non plus des solutions « tout-en-un », et garantit l’évolutivité du système IT. La tendance actuelle pour les entreprises est de choisir les meilleurs outils du marché et de les interconnecter au sein de leur système IT au travers de ces APIs programmables.

L’intégration de la brique « conformité » devient ainsi quasiment transparente d’un point de vue technique, mais surtout fonctionnel.

Imaginez, lors d’une entrée en relation digitale, l’interrogation en temps réel du moteur de criblage des tiers. En cas de suspicion, le parcours client peut instantanément s’adapter en proposant à l’utilisateur une étape supplémentaire pour compléter le KYC et ainsi accélérer la prise de décision des opérateurs conformité au moment de l’investigation.

outil de conformité : les challenges à venir

L’évolution des outils de conformité est loin d’être terminée et ils doivent encore relever plusieurs défis.

corrélation des données

Les différents outils dont nous parlons ne sont pas corrélés entre eux. Le profilage client n’est quasiment jamais disponible lors de la revue des transactions, de même que l’historique des transactions est rarement un entrant du scoring client.

recours à l’onpendata

De plus en plus de données sont maintenant disponibles en Open Data. C’est une tendance de fonds que l’on observe de la part des acteurs en possession de ces données, au premier rang desquels nous trouvons les Etats.

Les projets d’adaptation des systèmes d’information prennent du temps à se mettre en œuvre mais le périmètre des données disponibles s’étend progressivement. Ces gisements de données accessibles gratuitement aux professionnels vont transformer durablement l’approche des parcours client et des contrôles de conformité.

Les avantages à s’appuyer sur des jeux de données issus de l’Open Data sont clairement identifiés :

• amélioration de la qualité des données concernant les individus et les entreprises,

• digitalisation des parcours client,

• réduction des coûts en limitant les besoins en abonnement à des sources de données privées.

Les changements que l’on peut prévoir avec l’émergence de l’Open Data sont les suivants :

• recours plus systématique à des APIs d’acquisition ou de contrôle de données par le SI (Système d’Information) de l’entreprise

• arrivée de nouveaux entrants sur le marché RegTech (Regulatory Technology) pour des coûts d’équipement abordables

• optimisation des outils conformité et réduction des alertes. Citons par exemple l’augmentation des seuils de détection sur des données client dorénavant corrélées et consolidées.

L’Open Data représente pour la conformité une opportunité réelle et une tendance de fonds.

 intelligence artificielle et big data

L’Intelligence Artificielle (IA) couplée au Big Data sera dans les années à venir une aide cruciale et un accélérateur de transformation pour les outils de conformité.

Tout d’abord, le Big Data permettra d’assimiler et de structurer d’énormes quantités de données, puis de les analyser afin de mettre en évidence de nouvelles typologies de risque ou d’alertes.

L’autre enjeu de l’Intelligence Artificielle sera d’automatiser la revue de certains cas, grâce à des scenarii et/ou phases d’apprentissage (exemple : écarter des faux-positifs). L’IA sera particulièrement efficace dans la prédiction d’un niveau de similitude et de ressemblance, ce qui permettra de prioriser et catégoriser la revue des alertes LCB-FT.

Le challenge pour les directions conformité se traduira alors par la réponse aux questions suivantes : vais-je déléguer les revues et décisions à un robot ? Qui restera responsable des décisions prises par un système basé sur l’IA ?

bénéficier des performances du cloud

Le Cloud fournit par définition une extensibilité permettant de dimensionner les infrastructures en regard des volumes en jeu et d’aplatir les pics d’activité grâce au dimensionnement à la demande. Les solutions Saas ont un atout à jouer si elles savent tirer parti de ses plateformes, en les mutualisant sur l’ensemble de leur parc client.

L’évolution technologique n’étant qu’à son début, ces outils vont prendre une place essentielle dans les fonctions conformité, notamment grâce aux potentialités ouvertes par l’Intelligence Artificielle. Le professionnel de la Conformité se doit de connaitre ces outils, leur évolution et les adapter de manière idoine à ses activités, plus particulièrement dans le domaine de la LCB-FT.

Sources

• Les quarante recommandations du Groupe d’Action Financière sur le blanchiment des capitaux – 1990
• Patriot Act – 26 octobre 2011
• Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution
• Autorité de Contrôle Prudentiel et de Résolution – Commission des sanctions – 12 juillet 2021