Les griefs notifiés ont été les suivants :
Selon le grief 1, la société d’assurance avait une connaissance insuffisance de sa clientèle : tout d’abord, la « procédure cadre LCB-FT », qui s’appliquait à la société d’assurance, n’était pas correctement déclinée au niveau opérationnel. En effet, les procédures opérationnelles de la direction des services clients ne définissaient pas la fréquence de mise à jour de la connaissance client. À titre d’illustration de ces défaillances, sur les 143 dossiers examinés par la mission de contrôle, les informations sur le revenu et le patrimoine ou sur la profession du client n’étaient pas actualisées dans 34 dossiers et étaient manquantes dans quatre dossiers. Le dossier de la cliente [A], notamment, qui disposait d’une assurance vie d’un montant supérieur à 800 000 euros ne mentionnait aucune information relative aux revenus, au patrimoine ou à la profession de cette cliente.
Selon le grief 2, les délais excessifs de traitement des alertes ont conduit à ce que des personnes politiquement exposées (PPE) soient détectées tardivement. À titre d’illustration, dans le « périmètre assureur », une seule des 47 alertes déclenchées en janvier 2020 par l’outil de détection a été traitée durant ce même mois, tandis que certaines ont été traitées cinq mois après leur déclenchement. De plus, ces délais s’allongeaient en cas de « pics d’alerte ». Ainsi, trois mois après mars 2020, 18 % seulement des alertes avaient été traitées, alors même que la procédure groupe prévoyait que des investigations soient menées le jour du déclenchement de l’alerte et que la décision s’y rapportant soit prise dans les 10 jours. Par ailleurs, au moment du contrôle, la qualité de PPE de 13 clients, acquise en cours de relation d’affaires, n’avait pas été détectée.
Selon le grief 3, toutes les mesures de vigilance complémentaires qui devaient être mises en œuvre par la société d’assurance ne l’ont pas été.
Selon le grief 4, au moment du contrôle, la mise en œuvre des mesures de vigilance renforcées par la société d’assurance présentait plusieurs défaillances. La vigilance était notamment exercée par contrat et non par relation d’affaires, ce qui conduisait à exclure du champ de la vigilance renforcée des clients qui auraient dû y figurer en raison du montant cumulé de leurs opérations au titre de différents contrats. Cette approche ne permettait pas non plus d’appliquer les mesures de vigilance renforcées à l’ensemble des opérations d’un même client. En effet, les opérations d’un client placé sous surveillance, qui devaient être validées a priori dès le premier euro par la cellule LCB-FT de la société d’assurance ne l’étaient pas s’il souscrivait un nouveau contrat, faute de remontée a priori de cette information à la cellule concernée. Par ailleurs, en raison d’un dysfonctionnement informatique le niveau de vigilance n’a pas été correctement défini pour un grand nombre d’opérations. En effet, 74 des 204 opérations effectuées dans les 143 dossiers examinés par la mission de contrôle n’ont pas donné lieu à la mise en œuvre de mesures de vigilance renforcées alors que, selon les règles de l’organisme, elles auraient dû y être soumises.
Selon le grief 5, au moment du contrôle, le dispositif de surveillance des opérations était défaillant sur plusieurs points.
Les scénarios définis par l’organisme étaient incomplets. En effet, ils ne prenaient pas en compte des éléments figurant dans la classification des risques comme des facteurs de risques. Ainsi, l’absence de scénario relatif aux revenus et au patrimoine des clients a entraîné la non-détection d’opérations qui auraient dû faire l’objet d’un examen renforcé.
La Commission a pourtant indiqué à plusieurs reprises qu’il est indispensable, dans un dispositif de détection des opérations atypiques des clients, de prendre en compte les « éléments essentiels que sont le revenu et le patrimoine des clients ».
De même, l’absence de scénario relatif aux opérations de rachat précoce des contrats d’assurance vie a entraîné la non-détection d’opérations qui auraient dû faire l’objet d’un examen renforcé.
Par ailleurs, le paramétrage de l’outil de surveillance était inadapté. En effet, la surveillance s’appliquait par numéro de client et non par relation d’affaires. Or, dès lors qu’elle souscrit des contrats via différents intermédiaires, une relation d’affaires peut disposer de plusieurs numéros de clients. Un tel paramétrage ne permettait donc pas une analyse pertinente des opérations de la clientèle.
Selon le grief 6, la société d’assurance aurait dû procéder à un examen renforcé dans plusieurs dossiers. Par exemple, dans l’un des dossiers contrôlés, la justification économique d’un rachat total du contrat moins de deux ans après sa souscription aurait dû être examinée. Dans un autre des dossiers contrôlés, les versements effectués par la cliente, suivis d’un rachat partiel l’année suivante, étaient inhabituellement élevés, alors que l’estimation de son patrimoine financier était imprécise et que ses revenus annuels déclarés étaient inférieurs à 25 000 euros. Si la cliente a fourni un justificatif de la vente d’un bien immobilier, le montant total des deux versements justifiait, eu égard aux revenus de l’intéressée et même si celle-ci avait déclaré un patrimoine « supérieur à 200 000 euros », un examen renforcé.
Selon le grief 7, la société d’assurance n’a pas respecté son obligation de déclarer à Tracfin certaines sommes ou opérations dans plusieurs dossiers.
Selon le grief 8, la société d’assurance n’a pas respecté, dans plusieurs cas, son obligation d’adresser une déclaration de soupçon complémentaire. Par exemple, des clients avaient procédé à des versements complémentaires d’un montant élevé au regard de leur situation financière connue ou alors que leur situation financière n’était pas connue de l’établissement et ces versements portaient sur des montants significatifs par rapport à ceux qui avaient donné lieu à une première déclaration à Tracfin, sans justification de l’origine des fonds. Une DS complémentaire était donc nécessaire.
Selon le grief 9, le délai moyen de transmission des déclarations de soupçon à Tracfin était, selon les données communiquées par la société d’assurance, de 366 jours en 2018 et de 284 jours en 2019 soit un délai particulièrement élevé. Par ailleurs, sur les 18 déclarations analysées par la mission de contrôle, le délai moyen entre le fait générateur et l’envoi de la déclaration à Tracfin s’est élevé à 401 jours. Ainsi, 12 de ces 18 DS étaient tardives.
Enfin, selon le grief 10, la société d’assurance n’a diligenté aucun contrôle permanent des activités de LCB-FT externalisées auprès d’un GIE. Or un tel contrôle permanent aurait permis de constater les défaillances relevées par la mission de contrôle. n
