.svg)
.svg)
Dans le cadre de son cycle de FABRIx, des keynotes pratiques et inspirantes, La Fabrique by CA recevait le 3 décembre 2020, Radija Jabbouri, Antony Sauvegrain et Sonia Serraiat du cabinet de conseil en stratégie AiYO sur le sujet : « Les fintechs face aux enjeux des KYC et du LCB/FT ».
⏩ Retrouvez l’intégralité du FABRIx en vidéo sur YouTube.
Avec des trajectoires business orientées conformité et juridique, Antony Sauvegrin, Radija Jabbouri et Sonia Serraiat d’AiYO ont pu constater au cours de leurs nombreuses missions, au sein de grands groupes comme de startups, l’importance de comprendre, et de bien implémenter au bon moment, les dispositifs de KYC (KnowYour Client) et de LCB-FT (Lutte contre le blanchiment et le financement du terrorisme).
Entant que start-up studio du Groupe Crédit Agricole, cette intervention a été très instructive pour nous, tant pour connaître des astuces d’expert afin d’implémenter au mieux le dispositif réglementaire de lutte contre le blanchiment et le financement du terrorisme, que pour identifier des partenaires clés pour ce faire.
Toutes les fintechs sont concernées !
Le KYC et la LCB-FT sont des défis réglementaires qui concernent les fintechs, toute typologie confondue. En effet, les fintechs doivent opter pour un statut plutôt qu’un autre ou cumuler plusieurs statuts définis par la réglementation française. Ce statut correspond à l’activité effectivement exercée par la fintech : à chaque activité correspond une autorisation (agrément, enregistrement, immatriculation).
Ces statuts sont clairement définis par deux autorités, et un organisme : l’Autorité des Marchés Financiers (AMF), l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), et l’Organisme pour le registre unique des intermédiaires en assurance, banque et finance (ORIAS). Leurs rôles est actif, puisqu’ils regardent en détail l’activité de la fintech (process, flux financiers, flux opérationnels, conditions générales d’utilisation) pour la qualifier juridiquement.
À titre d’exemple, un établissement de paiement doit être agréé par l’ACPR et peut s’il le souhaite, cumuler son agrément avec un statut de courtier en assurances obtenu auprès de l’ORIAS.
Plus récemment, les prestataires sur les actifs numériques qui exercent une activité de crypto-monnaie et de blockchain, devront tous être agréés par l’AMF avant décembre 2020, et pour certains, peuvent décider de cumuler un agrément auprès de l’ACPR pour fournir des services de paiement.
Chaque fintech, selon son statut, devra se conformer à un ensemble réglementaire dense, éparpillé dans plusieurs sources :
- Les codes français (code monétaire et financier, code de commerce, code de la consommation, …) ;
- Le Règlement Général de l’AMF ;
- Les textes européens : avec les règlements d’application directe, et les directives qui doivent être transposées dans chaque pays, autrement dit, faire l’objet d’une loi nationale. C’est précisément le cas des directives relatives à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme.
L’enjeu pour la fintech : comprendre l’identification et la typologie de clients
Un dispositif de LCB-FT ne comprend pas seulement les aspects de lutte contre le blanchiment et le financement du terrorisme, mais également les aspects de fraudes internes et externes, et de corruption.
3 étapes clés sont à respecter pour ne rien rater du dispositif de LCB-FT :
- une vigilance client maîtrisée ;
- une vigilance transaction adéquate ;
- une surveillance proportionnée.
L’identification et la vérification du client est le « centre névralgique » du dispositif de LCB-FT.
1. Vigilance client maîtrisée
Une vigilance normale
En amont de l’entrée en relation d’affaires, la fintech doit pour chacun de ses clients, connaître ses prénoms et noms, ainsi que d’autres informations strictement encadrées par le Code Monétaire et Financier, et conserver ces données dans un fichier client. Grâce à ce fichier client, la fintech pourra à la fois prouver aux autorités sa conformité aux dispositifs réglementaires, et établir et exercer la vigilance transaction.
Ainsi, le client qui souhaite souscrire aux services d’une fintech devra déclarer des informations le concernant, telles que ses prénoms, noms, date et lieu de naissance, déclaration d’impôts, … et communiquer à la fintech des documents dont celle-ci s’assurera de l’authenticité.
Afin d’authentifier les documents du client, la fintech met en œuvre des mesures cumulatives ou alternatives, toutes deux fixées dans la réglementation.
Lorsqu’une société est cliente de la fintech, cette dernière aura accès à des informations publiques, notamment si cette société est cotée, de par son obligation d’information vis-à-vis des marchés financiers. Cela permet ainsi à la fintech de mettre en place des mesures de vigilance simplifiée sur la société.
Les informations collectées par la fintech lors de l’entrée en relation sont différentes, selon que le client est une personne physique ou une société.
Lorsqu’il s’agit d’une société, la fintech devra identifier le bénéficiaire effectif, autrement dit, la personne qui est réellement destinataire de l’opération réalisée grâce à la fintech. La fintech devra appliquer les mêmes mesures d’identification et de vérification que sur son client, et confirmer également l’identité du bénéficiaire effectif auprès de registres mis à sa disposition(par exemple, le registre des actionnaires, registre des trusts et fiducie).
Une vigilance complémentaire
Enfin, la fintech doit identifier des personnes politiquement exposées, afin d’éviter toute corruption par ou auprès de personnes hautement placées au sein de la fonction publique, des administrations. Dès qu’une personne physique est identifiée comme une personne politiquement exposée, la fintech doit mettre en place des mesures de vigilance complémentaire.
Une vigilance renforcée
Lorsque la fintech constate un risque important lié à un client, ou à une opération, elle devra mettre en place une vigilance renforcée. Le client devra alors fournir à la fintech des informations complémentaires, et seul le dirigeant effectif de la fintech pourra acter de la conclusion de l’opération ou décider d’entrer en relation.
La fintech tient donc un fichier à jour avec tous ses clients, qu’elle classe selon une cartographie des risques établie selon les risques de LCB-FT en fonction de l’activité :
- typologie de clients ;
- typologie de pays ;
- typologie TRACFIN/GAFI ;
- liste des pays à risque GAFI/Commission Européenne.
L’application de la cartographie des risques à l’ensemble des clients permet à la fintech de bénéficier d’une matrice pour définir un profil général de risque de chaque profil KYC. Tous les clients seront soit des clients « à risque bas », « à risque moyen », ou « à risque élevé ».
Cette matrice est vivante, et ne peut l’être que si la fintech tient à jour son fichier client, et l’actualise selon une périodicité qu’elle devra déterminer en fonction de son activité. La cartographie évoluera en conséquence.
Vigilance transaction adéquate
La vigilance transaction permet d’éviter toute infraction liée :
- au financement du terrorisme ;
- au blanchiment d’argent ;
- à l’escroquerie et à la fraude ;
- au trafic de drogue ;
- à la corruption ;
- à la fraude fiscale et sociale.
Si une opération initiée par le client, semble être liée, de près ou de loin, à un de ces cas, l’analyste doit « mener l’enquête ». Cette enquête consistera d’abord à exploiter toutes les informations du client collectées lors de l’entrée en relation (identification client, type de l’opération, analyse du KYC, origine et destination des fonds, bénéficiaire effectif en cas de société).
Ensuite, l’analyste pourra mener une enquête complémentaire afin d’obtenir du client une justification plausible à l’opération qui lui permette de l’autoriser. Cette enquête peut notamment s’appuyer sur des éléments liés à la cyber-sécurité comme la collecte des adresses IP. Alors, l’analyste déclarera l’opération non-suspecte. Si le client refuse de communiquer les documents, ou communique des documents qui ne sont pas satisfaisant pour valider l’opération, l’analyste remonte l’opération suspecte au déclarant TRACFIN avec toutes les informations liées à cette opération. TRACFIN peut demander des informations complémentaires, et ensuite, décidera de transmettre la déclaration au Procureur de la République pour enquête et, le cas échéant, jugement au Tribunal Correctionnel de Paris.
---
Le cas particulier du gel des avoirs
Il est important d’englober dans le dispositif de LCB-FT, la gestion du gel des avoirs. Le gel des avoirs impose à la fintech d’appliquer les sanctions prononcées au niveau national, européen et international, contre des personnes ou un ensemble de personnes, et ainsi de geler l’exécution de transactions dont elle serait à l’origine ou destinataire.
Dans ce cas, l’analyste bloque toute transaction qui serait initiée dès la publication de cette sanction, au contraire du dispositif de LCB-FT qui s’apprécie a posteriori, autrement dit, après la réalisation de l’opération.
---
3. Une surveillance proportionnée
La surveillance proportionnée rend les vigilances pertinentes, et permet de procéder à des déclarations de soupçons en toute transparence et de manière pertinente vis-à-vis de TRACFIN.
La fintech doit également écrire des procédures qui devront être appliquées par l’ensemble des opérationnels de la fintech. Ces procédures doivent incorporer a minima les politiques de LCB-FT, et la cartographie des risques.
4. L’équilibre moyens humains et automatisation
La fintech peut, et même doit, s’appuyer sur des prestataires externes afin d’automatiser la surveillance des transactions, et adaptée sa vigilance. Il est important cependant, de toujours garder à l’équilibre entre les moyens humains et l’automatisation, l’un allant de pair avec l’autre.
Ce n’est qu’en se complétant que ces mesures seront pertinentes, et seront au service de la conformité.
5. Un dialogue avec les autorités
L’AMF et l’ACPR sont des entités qui sont là pour épauler les fintechs dans l’implémentation du dispositif de LCB-FT, et s’assurer qu’elles sont bien en conformité.
TRACFIN rend également publique la typologie des déclarations de soupçons qu’il reçoit, ainsi que le nombre de déclarations de soupçons reçues au cours de l’année par chaque fintech.
6. Culture et gouvernance
Il est également de la responsabilité de la fintech de véhiculer une culture conformité. Cela implique de suivre une véritable stratégie de la part de la Direction de la fintech, qui doit être « leader » sur le« comment bien gérer la conformité ». Cela suppose une implication structurelle de la fintech, et qu’elle assure un rôle métier à part entière.
La Direction doit s’entourer d’un responsable de la conformité, dont le périmètre d’intervention doit bien prendre en compte, non seulement les aspects de LCB-FT, mais également de lutte contre la fraude fiscale et sociale, la corruption, et la fraude interne et externe.
À la charge ensuite du responsable de la conformité de s’entourer d’une équipe qui mette en place les contrôles de niveau 1 et de niveau 2, qui permettront à la fintech de s’assurer de la conformité de l’entrée en relation, du suivi de la relation d’affaires, et de l’escalade et du traitement des déclarations de soupçons.
Il est de la responsabilité de la fintech de mettre en place une veille réglementaire couvrant l’intégralité du périmètre de son activité et de dispenser des formations sur la LCB-FT à l’ensemble de ses collaborateurs.
7. L’important c’est d’être gagnant
La fintech ne doit pas s’arrêter à l’aspect « peu engageant » de la conformité. Même si de prime abord la réglementation peut paraître lourde, détaillée et complexe, il est primordial de l’implémenter au mieux, et surtout de garder la main sur l’ensemble des process, que cela soit en s’appuyant sur des prestataires externes, ou grâce à des développements internes.
À défaut de prendre la conformité à cœur, la fintech s’expose à des risques significatifs, de la sanction pécuniaire qui peut s’élever à plusieurs millions d’euros, jusqu’au retrait d’agrément et l’interdiction d’exercer.
