1. Le constat
Le secteur de l’assurance et des mutuelles est soumis, comme le secteur bancaire, à la régulation relative à la lutte contre le blanchiment des capitaux et le financement du terrorisme. Si les assureurs ont été très longtemps persuadés que ce sujet ne pouvait concerner l’assurance, les risques apparaissant plus faibles que dans le secteur bancaire, ils conviennent désormais que les cas se multiplient et que les blanchisseurs savent désormais utiliser des produits d’assurance pour commettre leurs délits. Pour aider les organismes du secteur des assurances, l’Autorité de Contrôle Prudentiel (ACP) a mis à leur disposition des principes d’applications sectoriels permettant de décrypter les textes réglementaires applicables aux acteurs de l’assurance et des mutuelles.
A ce stade, si les assureurs classiques, et notamment ceux qui proposent à leurs clients des produits dit « à risques élevés » (comme les bons de capitalisation anonymes, par exemple) ont en général mis en place des dispositifs LCB-FT efficaces, beaucoup d’autres n’ont encore que très peu travaillé sur le sujet, au premier rang desquels figurent les instituts de prévoyance et les mutuelles.
Début 2013, force est de constater que rares sont ces établissements qui ont nommé un correspondant et un déclarant TRACFIN, et très peu d’entre eux complètent les « Tableaux de blanchiment » réglementaires à transmettre à l’ACP avant le 28 février de chaque année. Quant aux dispositifs mis en place, ils se limitent souvent à une note interne indiquant que les risques étant faibles, et qu’aucune vigilance particulière n’est exigée.
Pourtant, même s’il est vrai que certaines organisations sont peu exposées à de tels risques, et que ces derniers restent souvent limités, les établissements ne peuvent pour autant, pour des raisons réglementaires, s’affranchir de la mise en place d’un dispositif, même « minimum ». Le régulateur, conscient de la situation, s’avère de plus en plus regardant sur le sujet et planifie déjà ses contrôles.
SterWen analyse trois des sept chantiers à réaliser pour mettre en œuvre un dispositif simple, efficace, adapté à la nature et à l’importance du risque, qui réponde aux attentes du régulateur.
2. La mise en place d’un dispositif LCB-FT, une obligation règlementaire à adapter au niveau de risque
– Obligation de classification des risques
La classification des risques est l’élément fondateur et désormais obligatoire du dispositif. En effet, comme le régulateur permet d’adapter le dispositif au niveau des risques effectifs présentés par l’organisme, leur classification va permettre de qualifier les risques et définir la nature plus ou moins extensive du dispositif de surveillance et de maîtrise des risques à mettre en place.
Comme il est indiqué plus haut, les organismes proposant des produits risqués tels que les bons de capitalisation et/ou les produits d’assurance-vie, doivent élaborer une classification détaillée et motiver leurs choix déterminant notamment les seuils au-delà desquels les diligences vont devenir plus ou moins contraignantes, ainsi que la nature de ces diligences.
Le premier travail consiste donc à réaliser une cartographie de l’ensemble des offres et produits de l’organisme, et d’identifier la nature des prestations (branches), les seuils de cotisations, la nature des risques et le cas échéant, les typologies de clients, les modalités d’entrée en relation et les flux. Cette étape peut être réalisée rapidement si un référentiel documenté des offres et produits existe déjà.
Pour les Institutions de Prévoyance et les Mutuelles, où les risques sont à priori faibles, il conviendra d’être plus particulièrement vigilant sur les offres et produits relatifs à la branche 20 (décès) de l’assurance. En effet, pour ces produits, bien que restant dans le cadre de vigilance allégé au sens de l’article L 561-9 2° du Code Monétaire et Financier (CMF), au-delà de certain seuil de cotisation (en prime unique ou en prime mensuelle), l’article L 561.9-1° s’applique, avec l’obligation d’identifier le client et dans les cas prévus à l’article L 561.10, l’obligation de mettre en œuvre les diligences complémentaires (Personnes Politiquement Exposées (PPE), vente à distance, pays et territoires non coopératifs …). On observe que ces cas de figure sont parfois mal cartographiés. Le régulateur ne manquera pas d’identifier ces situations et demandera vraisemblablement un surcroît de procédures opérationnelles, dont la mise en œuvre nécessitera une charge opérationnelle non négligeable.
Au final, cette classification permet d’identifier les activités nécessitant de mettre en place des diligences complémentaires en matière de contrôles, de processus et de procédures opérationnelles et constitueront un des volets important de la mise en œuvre du dispositif.
– Obligation d’information et de formation
Parmi les premiers points regardés par le régulateur lors de ses contrôles, figure la formation et la sensibilisation des collaborateurs. Si les formations spécifiques pour les personnels les plus exposés manquent souvent, les formations de premier niveau que nous appellerons de « sensibilisation » sont elles-mêmes bien souvent insuffisantes lorsqu’elles existent. En effet, sensibiliser l’ensemble de ses collaborateurs aux problématiques LCB-FT peut devenir un casse-tête pour les départements RH.
L’utilisation de l’e-learning peut permettre de simplifier la dispense des formations, de s’assurer de la bonne compréhension du dispositif et des processus par les collaborateurs, ainsi que de la connaissance des reportings qu’il est nécessaire de produire pour le régulateur.
Un e-learning efficace comporte quatre modules mixant des cas pratiques et des quiz sur les sujets suivants :
• Les principes généraux du blanchiment d’argent et de financement du terrorisme
• Le cadre réglementaire de l’organisme soumis
• Le dispositif et la démarche mise en place dans l’organisme
• Les outils et procédures
– Outils de filtrage
L’outillage du dispositif LCB-FT est là aussi un sujet qui peut s’avérer complexe. Du côté LCB, un dispositif gradué, adapté aux risques de l’organisme est à mettre en place. Par conséquent, si certains organismes doivent mettre en place des outils complexes de filtrage des flux, de surveillance des transactions ou même de gestion du KYC (Know Your Customer – « Connais ton client »), les établissements dont les risques ne nécessitent qu’une vigilance allégée pourront développer des outils / requêtes simples sur leurs outils actuels pour répondre aux attentes du régulateur.
En revanche, la lutte contre le financement du terrorisme nécessite d’être en mesure d’effectuer un balayage complet des clients vis-à-vis des listes de sanctions ou listes d’embargos. Ces listes, dont les principales sont publiées par l’Union Européenne (EU), les Nations Unies (UN), le gouvernement américain (OFAC) et le gouvernement Anglais (HMT), doivent parfois être complétées par certaines listes nationales, comme la « Liste Terroriste Unique » de l’Etat français.
Ces listes se recoupant en partie, un organisme français n’est pas tenu d’utiliser toutes ces listes. En première approche, à confirmer à la suite d’une étude plus approfondie de la clientèle, les listes utilisées peuvent se limiter à l’exploitation des listes EU, UN et de la Liste Terroriste Unique.
Reste alors à rapprocher ces listes de sanctions de la liste des clients de l’organisme. Bien que l’organisme puisse développer sa propre solution de filtrage, nous sommes convaincus qu’il est nettement préférable d’acquérir un outil dédié doté de fonctionnalités de base permettant de respecter les contraintes réglementaires, notamment dans le cadre de l’audit et de la traçabilité. En outre, ces solutions, dont une dizaine d’éditeurs se partagent le marché, sont désormais matures, ont été largement éprouvées dans le secteur bancaire et se prévalent souvent d’une quasi accréditation du régulateur, au fil des audits réalisés, qui n’ont débouché sur aucune recommandation particulière sur ces outils de filtrage.
Un argument supplémentaire réside dans le coût de ces solutions : la plupart des éditeurs ont largement vendu leurs solutions aux banques, leur permettant d’amortir leurs investissements. Ces solutions qui pouvaient être relativement onéreuses dans le passé, sont donc désormais nettement plus abordables et accessibles aux organismes d’assurance ainsi qu’aux institutions de prévoyance et aux mutuelles, permettant de limiter les budgets de mise en place du dispositif.
Enfin, il reste à assurer les vérifications relatives à l’honorabilité et aux PPE (Personnes Politiquement Exposées). Là encore, en fonction des organismes et des niveaux de vigilances auxquelles ils sont soumis, l’addition peut être élevée, car contrairement aux listes de sanctions qui sont publiques et gratuites, les données sur les PPE sont produites par un nombre très limité de fournisseurs de données, qui proposent ces informations à des prix assez élevés. Il convient donc de bien évaluer le besoin pour mettre en place le dispositif le mieux adapté, au meilleur coût.
– S’organiser efficacement pour mettre en œuvre et maintenir un dispositif à la mesure de ses risques
Au regard des sanctions que l’ACP peut infliger aux organismes ne répondant pas aux obligations réglementaires, un projet de mise en conformité, accompagné par un cabinet expert adaptant « au mieux » le dispositif à mettre en place au regard des risques, peut être réalisé dans un budget raisonnable. En outre, lorsque le régulateur intervient et communique ses recommandations, l’organisme se retrouve bien souvent sous contraintes de temps et de moyens qui conduisent à des coûts de mise en œuvre nettement supérieurs à ceux qui auraient pu être constatés si la mise en place du dispositif avait été anticipée.
Pour accélérer la mise en place de ces dispositifs, sur le plan de la réflexion comme de la mise en œuvre, nous conseillons vivement aux mutuelles et aux institutions de prévoyance de s’appuyer sur des cabinets de conseil, spécialisés sur ces sujets, susceptibles de s’appuyer sur de vrais retours d’expérience. Ils tireront profit de démarches éprouvées, gagneront du temps sur l’interprétation des textes et le niveau de détail attendus par les autorités de tutelle dans leur implémentation, et disposeront de benchmarks en matière de gouvernance et de dispositifs organisationnels.
Ces cabinets apportent également des méthodologies adaptées et la maîtrise des approches par les risques : cartographie des risques LCB-FT, évaluation des risques, outils de connaissance du client, de profilage, et de filtrage des flux. Une fois les procédures et le dispositif de contrôle interne mis en place, le personnel est sensibilisé et formé pour gérer de manière autonome le dispositif LCB-FT.
Nous recommandons de mettre en place un classeur LCB-FT reprenant les 7 principes d’obligation. Ce classeur construit au cours de la mise en place du dispositif permet de centraliser l’ensemble de la documentation nécessaire au bon fonctionnement du dispositif et à sa maintenance, et constitue aussi la base documentaire qui sera remise au régulateur en cas de contrôle, facilitant ainsi la relation avec l’ACP.
