Flash BankNews | L'ACPR & Tracfin actualisent leurs lignes directrices sur la vigilance et les déclarations à Tracfin

Ce document, qui est de nature explicative et n’a pas de caractère contraignant, présente une analyse des textes en vigueur et précise les attentes de Tracfin et de l’ACPR à l’égard des organismes financiers soumis au contrôle de cette dernière.

Actualisation des lignes directrices conjointes relatives aux obligations de vigilance sur les opérations et aux obligations de déclaration et d’information à Tracfin

Une précision des attendus en matière de détection des opérations atypiques

L’ACPR étoffe ses lignes directrices en précisant ses attentes en ce qui concerne l’utilisation d’un outil de surveillance des opérations automatisé. Sont notamment détaillées les attentes en termes d’organisation, de paramétrage et de pilotage du dispositif automatisé par les établissements assujettis : 

• Les missions et fonctions respectives des membres de leur personnel en charge de la mise en œuvre du dispositif automatisé de détection des opérations atypiques ainsi que leur niveau hiérarchique doivent être dument documentés au sein des procédures internes ;
• Les procédures internes doivent également préciser les instances mises en place pour le pilotage de ce dispositif automatisé, leurs rôles, leur périmètre d’intervention et leurs modalités de fonctionnement (par exemple, les modalités de décision pour des changements d’outils ou de paramètres).
• Afin d’assurer l’efficacité du dispositif, les organismes financiers veillent à ce que les paramètres soient adaptés avant leur mise en place par des tests de pertinence et de volumétrie. Pour les clients occasionnels, le paramétrage des outils doit permettre de définir les opérations liées et de mettre en place des scénarios de cumul pertinents. 
• Lorsque l’organisme financier utilise des outils communs au groupe, il doit être en mesure de les adapter à ses besoins, tant en termes de fonctionnalités disponibles que de paramétrages.
• En cas d’externalisation ou de localisation à l’étranger, les organismes financiers doivent tenir compte des obstacles et risques que peut présenter cette organisation (obstacles linguistiques, insuffisante connaissance des risques nationaux auxquels l’organisme est exposé et des spécificités de la réglementation nationale, etc.). 
• Enfin, les organismes financiers mettent en place des indicateurs de performance qualitatifs et quantitatifs afin de détecter au plus tôt les éventuels dysfonctionnements, les analyser et prendre les mesures nécessaires pour y mettre fin. Une liste d’exemples d’indicateurs quantitatifs est fournie :
  • Concernant la performance de l’outil automatisé : il est pertinent de monitorer la fréquence d’intervention de chaque scénario (en nombre et en pourcentage), le nombre d’opérations en deçà des seuils définis par les scénarios et le taux de conversion du scénario/de l’alerte en déclaration de soupçon.
  • Concernant les alertes générées par le dispositif automatisé : l’absence ou une baisse significative d’alertes peut révéler des dysfonctionnements comme l’indisponibilité temporaire de l’outil, une erreur de paramétrage ou un paramétrage trop restrictif. A contrario, une hausse significative peut révéler un problème de paramétrage ou encore une augmentation du risque.
  • Concernant le traitement et l’analyse des alertes : une hausse continue du délai de traitement peut révéler un manque d’effectifs dédiés à cette tâche. Il en est de même concernant un nombre important d’alertes en suspens, notamment en fonction de leur ancienneté.

L’introduction de recommandations relatives à l’utilisation de solutions innovantes 

L’ACPR introduit par ailleurs des recommandations relatives à l'utilisation de solutions innovantes, tels que les modules de machine learning ou d’IA générative. L’implémentation de ces modules dans le dispositif de gestion des risques permet en effet d’envisager différents leviers d’amélioration que ce soit pour le paramétrage des outils, la surveillance des opérations ou encore la priorisation du traitement des alertes. Cependant, le recours au machine learning ou à l’IA nécessite un pilotage des différentes phases du processus inhérent à ce type de technologie (fiabilisation des données, apprentissage machine…) afin d’assurer son efficacité. Un dispositif de contrôle efficace doit également être défini, les organismes financiers demeurant responsables du déploiement et de l’« explicabilité » des algorithmes d’IA utilisés.

En outre, celle-ci souligne l’émergence du modèle « Banking as a Service » (BaaS), lors duquel des agents ont recours à des solutions dites « en marque blanche » développées par l’organisme agréé et sur lesquelles ils peuvent apposer leur marque, inversant ainsi la logique initiale du modèle d’agents de services de paiement. Elle soulève que ce modèle présente des risques élevés de BC-FT au regard, notamment, de la difficulté pour l’organisme financier de maîtriser les produits commercialisés par son agent et de disposer, en temps réel, de l’ensemble des données nécessaires à la mise en œuvre d’un dispositif de LCB-FT efficace et adapté. Ainsi, il est essentiel que l’organisme financier conserve la maîtrise des opérations de son agent et qu’il identifie et évalue les risques de BC-FT afin de mettre en œuvre des mesures appropriées pour gérer et atténuer ces risques. L’organisme financier doit intervenir au stade de la conception des produits pour s’assurer que le dispositif de gestion des risques (tant pour les outils automatisés que pour les moyens humains) est adapté avant même leur commercialisation. Les activités de l’agent doivent également être intégrées par l’organisme financier dans son dispositif de contrôle interne.

Des éléments complémentaires liés à la réalisation des examens renforcés et des déclarations de soupçon 

Sont rappelées ensuite les étapes constituant l’analyse des faits et la réalisation d’un examen renforcé, à effectuer en cas d’opérations particulièrement complexes, d'un montant inhabituellement élevé, ou ne paraissant pas avoir de justification économique ou d'objet licite.

Dans ce contexte, l’ACPR a notamment ajouté un encadré relatif à la surveillance des opérations de retrait à un distributeur automatique de billets (« DAB »). En effet, le retrait d’espèces à partir d’un DAB permet à des porteurs de cartes bancaires, non clients de l’organisme financier offrant ce service, d’obtenir des fonds en espèces selon des règles de plafonnement propres au paramétrage de la carte et à celui du DAB. Or ces cartes peuvent être adossées à des comptes de dépôt, de paiement ou de monnaie électronique et peuvent être émises en France, en Europe ou à l’étranger sans lien avec un compte tenu par l’organisme financier. Dans ce cas de figure, l’organisme doit être en mesure d’identifier les retraits d’espèces effectués dans des conditions particulièrement inhabituelles. Celles-ci peuvent relever de plusieurs facteurs tels que la fréquence, la célérité des opérations, le montant unitaire ou cumulé des opérations de retrait ou les risques liés au pays émetteur de la carte. Si la réalisation d’une DS à Tracfin d’avère nécessaire, l’absence de données relatives à l’identité du porteur de la carte est compensée par les informations recueillies au moment de l’opération).

Nos équipes expertes en sécurité financière sont à votre écoute pour vous aider à améliorer vos dispositifs. 

RESTEZ INFORMÉ(E) DE L'ACTUALITÉ BANCAIRE, ABONNEZ-VOUS AUX FLASH BANKNEWS.