Flash BankNews n°86 | L’analyse de l’ACPR des dispositifs automatisés de surveillance des opérations en matière de LCB-FT

Les principaux constats de l’Autorité tiennent à la place de l’intervention humaine, encore très présente, au suivi d’indicateurs de performance et de pertinence des outils et scénarii considérés, ainsi qu’à la gouvernance et aux politiques de maintien de cet aspect du dispositif LCB-FT.

Ces travaux pourraient servir de prémices à la rédaction de lignes directrices conjointes avec Tracfin.

Les ressources allouées au suivi automatisé des transactions dépendent grandement de l’activité des établissements et de leur structure.

Les ressources financières et humaines accordées au pilotage de ce dispositif varient d’un établissement à l’autre, en fonction de ses lignes métier, de son incorporation au sein d’un groupe ou de son indépendance. L’Autorité a ainsi observé que les budgets accordés aux outils de criblage des transactions en matière de LCB-FT oscillaient de moins de 500 000€ pour les plus petites entités à près de 25 000 000€ pour les groupes qui combinent l’utilisation d’outils de place, afin de bénéficier des remarques et améliorations proposées par leurs concurrents, et le développement de solutions internes.

Au sein des groupes, la gouvernance du dispositif est majoritairement centralisée dans les départements de conformité, de sécurité financière ou de LCB-FT, qui comptent quelques centaines de collaborateurs habilités bien que certains acteurs éclatent ou externalisent le traitement des alertes au sein de filiales ou de succursales intragroupes dédiées. Les institutions de taille plus modeste sollicitent davantage les agents opérationnels afin de traiter les alertes.

Le pilotage du dispositif est lui aussi abordé différemment par les établissements mais reste guidé par la préoccupation commune d’un traitement des alertes de qualité.  

Le périmètre des outils adoptés couvre le plus souvent la quasi-totalité des opérations effectuées par les clients des institutions. En particulier, l’accent est communément mis sur les transactions liées à des pays risqués. S’agissant de l’appréciation du profil de risque de leur clientèle, les établissements intègrent de plus en plus l’historicité des alertes pour un même client lors de leurs analyses. Une bonne pratique semble de les effectuer à la lumière des groupes de pairs, c’est-à-dire en considérant les opérations à l’initiative de clients d’un même segment.

Les alertes sont quant à elles rapportées à périodes courtes mais variables, allant de vingt-quatre heures à un mois. L’Autorité souligne à cet égard que les périodes les plus courtes permettent une meilleure réactivité, notamment en cas de nécessité de formuler une déclaration de soupçon[1], mais qu’elles génèrent de grands volumes d’alertes. Considérer une période plus longue diminue cette volumétrie mais risque de nuire à l’identification d’opérations suspectes fractionnées.

La formalisation du processus se cantonne couramment à l’élaboration d’une procédure dédiée au sein d’un corpus LCB-FT plus large, incluant les formalités de contrôle interne qui s’appuient parfois sur celles proposées par l’outil lui-même. Les approches d’analyse lors du traitement des alertes ne suivent pas toutes le même niveau de consolidation, étant rappelé que les groupes bancaires doivent composer avec les spécificités réglementaires de leurs implantations locales[2], ou aux disparités culturelles entre leur organe instructeur centralisé et les géographies dont les transactions proviennent. La centralisation assure un niveau d’expertise des analystes et limite les incidences d’un dysfonctionnement des ressources mais opacifie la vision des acteurs locaux sur les opérations de leur clientèle.

Au demeurant, l’Autorité relève l’insuffisance de certains plans d’urgence pour la poursuite de l’activité (PUPA), bien que la plupart des établissements prétendent pouvoir rattraper l’ensemble des alertes générées pendant une anomalie ou indisponibilité de l’outil.

L’élaboration et la revue des scénarii reste largement aux mains des opérationnels bien que l’intelligence artificielle s’invite dans la construction d’une démarche rationnalisée.

Le paramétrage du système est le plus souvent revu à fréquence annuelle, au sein d’instances de gouvernance aux rôles LCB-FT plus larges qui abordent peu le sujet des pics du nombre d’alertes ou du délai de leur traitement, pouvant aller jusqu’à quatre-vingt-quinze jours. Les enjeux tiennent principalement à la volumétrie et à la priorisation du traitement des alertes, éventuellement au regard d’une cotation considérant le risque associé au donneur d’ordre.

Dans le but de diminuer le volume des alertes à traiter, les établissements recourent progressivement à l’intelligence artificielle afin de prioriser les transactions suspectes entre elles et de fournir des graphiques analytiques facilitant l’étude de l’agent instructeur. Le machine learning pourrait permettre de perfectionner le paramétrage de l’outil en se fondant sur des indicateurs déjà suivis par les analystes tels que le taux de conversion de ces alertes en examen renforcé, voire en déclaration de soupçon.

L’ACPR met en garde sur les conséquences d’une baisse de vigilance relative au maintien de l’outil de surveillance en cas de réorganisation stratégique de l’établissement. L’incorporation de nouveaux scénarii dans les outils demeure toutefois liée aux affaires des institutions, en particulier la commercialisation de nouveaux produits, la publication de nouvelles exigences réglementaires ou la modification de l’environnement LCB-FT telle que le prononcé de nouvelles sanctions.

Les équipes Mazars expertes en Sécurité Financière sont à votre disposition pour vous aider à améliorer l’efficacité de vos dispositifs.

[1] Au titre de l’article L. 561-15 IV du Code monétaire et financier, les déclarations de soupçon doivent être saisies sans délai.

[2] Succursale ou filiale par exemple.