Sur IlBoursa.com “Les Établissements de Paiement en Tunisie : Nouveaux services, nouveaux enjeux”
De nos jours, le secteur des services financiers vit une croissance inégalée dans son histoire. Une croissance démographique annuelle mondiale estimé à 1.2%, un taux d’urbanisation de 3.5%, des échanges économiques nationaux et internationaux de plus en plus croissants, et une dématérialisation des flux monétaires les rendant plus rapides que jamais. Un ensemble d’indicateurs qui prouvent l’évolution du besoin et de l’accessibilité à ces services. Cette évolution se traduit en Tunisie par une croissance du taux de bancarisation de 6.3% par an.
Face à cette situation qui crée à chaque instant de nouveaux besoins, les fournisseurs de services financiers ne cessent d’inventer et de proposer des produits et services visant à faciliter le quotidien des personnes en profitant des nouvelles technologies de communication.
Et c’est dans ce train d’évolution mondiale que la Banque Centrale de Tunisie (BCT) a ouvert la porte à la parution de nouveaux acteurs financiers spécialisés dans « les paiements ». Des nouveaux acteurs régis par circulaire BCT n° 2018 -61 portant sur les règles régissant l’activité et le fonctionnement des établissements de paiement.
La circulaire N° 2018 -61 a été émise le 31 décembre 2018. Alors que la Tunisie était en pleins chantiers réglementaires et stratégiques visant à se faire sortir de la liste du GAFI des pays sous surveillance pour manque de conformité aux recommandations internationales de lutte contre le blanchiment d’argent et le financement du terrorisme (BA/FT), la BCT s’ouvre un nouveau front porteur de risques de BA/FT.
Quels sont alors les services fournis par ces nouveaux acteurs ? Que sont les nouveaux risques et enjeux de ces services en matière de BA/FT ? Quelles sont les mesures prises par la Banque Centrale de Tunisie pour gérer ces risques ? Et comment ces mesures devront être transposées chez les établissements de paiement pour se conformer la réglementation en vigueur ?
Services offerts par les établissements de paiement
Ces établissements offriront à leurs clients personnes physiques et personnes morales, un ensemble de services relatif aux paiements et transferts de fonds.
Les services fournis à titre principal sont :
– l’ouverture de comptes de paiement,
– les versements et les retraits en espèces,
– les prélèvements,
– les opérations de paiement en espèces,
– les opérations de transfert de fonds,
– la réalisation d’opérations de paiement par tout moyen de communication à distance, y compris les opérations de paiement électronique, et
– la commercialisation des moyens de monnaie électroniques prépayés, émis par les banques ou la poste tunisienne.
Et à titre accessoire, les EP pratiquent aussi l’activité de change manuel conformément à la réglementation de change en vigueur.
Risques de BA/FT relatifs à ces services
Les comptes de paiement sont classés dans les trois niveaux 1, 2 et 3. Bien qu’ils soient plafonnés respectivement à des soldes de 500, 1000 et 5000 TND avec des sorties de fonds ne dépassant pas les 250, 500 et 1000 TND par jour, ces comptes restent porteurs de risques de blanchiment notamment par les techniques de fractionnement et d’organisation en réseaux, ainsi que de financement du terrorisme.
Non loin de nous la sanction d’un million d’euros infligée à l’opérateur de transfert international Western Union pour manquements dans la lutte contre le blanchiment d’argent et le financement du terrorisme. La filiale européenne du groupe américain est accusée de ne pas connaître assez bien ses clients, leurs activités, l’origine des fonds transférés et leurs bénéficiaires. Mais aussi de l’absence de signalements à la cellule de renseignements financiers, chargé de lutter contre le blanchiment d’argent et du financement du terrorisme.
Des défaillances du logiciel de surveillance sont également pointées du doigt dans cette affaire. Des clients se sont vus attribuer plusieurs identifiants quand un même identifiant a pu servir pour plusieurs clients. Ces numéros sont pourtant utilisés pour détecter les opérations fractionnées.
Aux Etats-Unis, le même opérateur avait accepté de verser 586 millions de dollars aux autorités aussi pour des manquements dans des contrôles anti-blanchiment.
Cet exemple illustre clairement les risques liés à l’identification de la clientèle, de l’origine des fonds et leur destination, des bénéficiaires effectifs, de détection des opérations suspectes et inhabituelles et de respect des seuils réglementaires.
Exigences réglementaires
Afin de bien cadrer l’activité des EP, la BCT a fixé leur mode de fonctionnement dans sa circulaire n° 2018-61, et a bien précisé que ces établissements sont assujettis aux textes suivants :
- la loi organique n° 2015-26 du 7 août 2015, relative à la lutte contre le terrorisme et la répression du blanchiment d’argent telle que modifiée et complétée par la loi organique n° 2019-9 du 23 janvier 2019 ;
- la circulaire de la BCT n° 2018-09 portant sur les règles de contrôle interne pour la gestion du risque de blanchiment d’argent et de financement du terrorisme.
Ces deux textes imposent aux EP un ensemble de mesures préalables à l’ouverture des comptes, tout au long de la relation d’affaire, et même à chaque transaction.
Entrée en relation d’affaire
Au moment de l’ouverture du compte, l’établissement financier doit « filtrer le client ». Ce filtrage consiste à vérifier si le client fait l’objet d’une sanction financière nationale, à travers la consultation de la liste de sanction établie par la Commission Nationale de Lutte Contre le Terrorisme (Liste CNLCT), ou internationale, en consultant la liste des sanctions du conseil de sécurité des Nations Unies (liste UN). Il est à noter que d’autres règles de sanctions internationales deviennent applicables dans le cas d’exécution d’opérations de change : Chaque « propriétaire d’une monnaie » impose les règles d’utilisation de sa monnaie et peut mettre en place des sanctions qui concernent ses ressortissants et toutes parties souhaitant utiliser sa monnaie. De ce fait, si l’EP réalise une opération de change en Euro par exemple, il doit s’assurer de ne pas fournir des Euros à une personne sanctionnée par l’Union Européenne, et pour vérifier cela, il doit consulter la liste de sanctions de l’Union Européenne (List EU). Pareillement pour la liste OFAC en cas d’opérations en Dollar Américain, la liste de la Banque d’Angleterre en cas d’opérations en Livre Sterling, et ainsi de suite.
Le filtrage peut porter aussi sur d’autres listes de surveillances, du types liste de personnes politiquement exposées (PPE), ou liste interne à l’établissement. La présence d’un client dans ces listes n’engendre pas systématiquement une interdiction, mais plutôt des mesures de vigilance spécifiques, telle que l’obtention de l’accord de la direction générale avant l’ouverture d’un compte à une PPE.
Dans cette même étape de la relation d’affaire, les données minimales indiquées par le circulaire BCT n°2018-16 dans l’article 14 et les annexes 1 et 2 doivent être collectées et vérifiées sur la base des documents d’identités du client. Ces données varient en fonction du type du compte et du type du client.
Au cours de la relation d’affaire
Bien que le client, au moment de son acceptation, ne faisait pas l’objet d’une sanction financière, il pourra le devenir plus tard, d’où la nécessité d’une re-vérification périodique de l’ensemble de la base client de l’ED par rapport aux mises à jour des listes.
D’autre part, l’objet principal des EP est la réalisation des transferts de fonds au niveau national. La réglementation de lutte contre le blanchiment d’argent et le financement du terrorisme interdit la mise à disposition de fonds à des personnes sanctionnées. Elle impose aussi l’identification et la détection des opérations suspectes ou inhabituelles. Un « filtrage des transactions » est alors nécessaire.
Le filtrage des transactions consiste à filtrer, en plus du client, la contrepartie, qu’elle soit le donneur d’ordre ou le bénéficiaire de la transaction, cliente ou non de l’établissement. La transaction doit être aussi filtrée en fonction de son montant, et toute autre donnée la caractérisant. Ce filtrage peut donner lieu à une suspension provisoire de la transaction pour investigation en cas de doutes, et parfois à un blocage de la transaction.
Les opérations suspectes et opérations inhabituelles peuvent être détectées par l’analyse des opérations et transactions. Cette analyse, communément nommée « transaction monitoring » vise à observer le comportement du client pour y détecter les éventuelles incohérences.
Dans l’affaire de Western Union, une défaillance du système de monitoring des transactions a permis à un même client d’effectuer, sur la période 2014-2016, 363 transferts de fonds, pour plus de 45 000 euros au total. Ces transferts ont été réalisés au bénéfice de 23 personnes dans 5 zones géographiques à risque élevé. La défaillance du système de connaissance client (KYC) lui a permis de se présenter parfois « chômeur », parfois « salarié », et à plusieurs reprises de ne pas préciser son activité.
Mesures à mettre en place par les EP
Afin de répondre à ces exigences réglementaires strictes vu les enjeux et les risques de telles pratiques sur l’économie et la sécurité nationale, les EP sont tenus de s’équiper des ressources humaines, matérielles et logicielles nécessaires.
Ils doivent adapter leurs dispositifs de contrôle interne à la nature, à la complexité, à la diversité, au volume de leurs activités et aux risques auxquels ils sont exposés.
Ils doivent désigner un responsable de la conformité, un correspondant de la CTAF et un correspondant de la CNLCT et leurs suppléants.
Ils doivent concevoir et mettre en œuvre une politique LBA/FT complète couvrant tous les niveaux de l’entreprise et toutes ses opérations. Cette politique devra décrire l’organisation de la fonction de conformité, les procédures d’acceptation des clients, d’investigations, de déclenchement et de gestion des alertes, les responsabilités des différents acteurs des procédures concernées, et une cartographie des risques LBA/FT auxquels s’expose l’établissement par l‘exercice de son activité.
La formation fait aussi une partie intégrante et importante de cette politique : un plan incluant son contenu, ses cibles, sa périodicité et ses objectifs doit être élaboré et tenu à jour.
Les systèmes d’informations adéquats sont aussi à mettre en place. Le filtrage des noms nécessite des moyens technologiques permettant une recherche des noms en prenant en considération leurs différentes écritures, garantir les mises à jour des listes de sanctions, justifier des résultats des recherches effectuées et assurer un balayage périodique automatisé.
Le SI doit être paramétrable de sorte à permettre la conception des formulaires KYC conformément aux exigences réglementaires et à la politique interne de l’EP, et surtout de répondre facilement à l’évolution de la réglementation. Naturellement les contrôles d’obligation, des types et des formes des champs sont aussi nécessaires pour garantir la qualité des données clients.
Suite à la collecte des données client et à son filtrage, un niveau de risque BA/FT doit être attribué au client. Ce niveau de risque conditionnera par la suite le niveau de vigilance à appliquer pour ce client que ça soit pour son acceptation, pour le filtrage de ses transactions ou pour le monitoring de ses opérations.
Le filtrage des transactions, si elles sont nombreuses, devra être automatisé moyennant un outil informatique adéquat permettant l’interception de chaque ordre de transaction pour sa vérification avant son exécution.
Et en ce qui concerne le monitoring, toutes les transactions exécutées, doivent aboutir dans un outil permettant leur analyse afin d’identifier les comportements suspects ou inhabituels. Une analyse qui doit prendre en considération le niveau de risque attribué à l’entrée en relation. Ce même système doit permettre la conduite d’une investigation, et en cas de besoin la génération d’une déclaration de soupçon.
Toute ces fonctionnalités peuvent être regroupées dans un seul outil ou sous formes de modules, mais dans tous les cas, il est nécessaire de respecter les règles des habilitations des utilisateurs et de protection des données personnelles, ainsi que les recommandations et bonnes pratiques internationales en matière de travail collaboratif et de partage des tâches.
Les risques de l’évolution
Les besoins clients ne cessent d’augmenter avec l’évolution de la qualité de la vie, et les fournisseurs des différents services sont toujours amenés à évoluer et à se réinventer pour répondre aux attentes d’une clientèle de plus en plus exigeante et toujours informée des évolutions internationales.
Bien que toute évolution soit porteuse de risques, les risques n’empêchent pas l’évolution car les contrôles se sont aussi développés et les mécanismes de maîtrise des risques sont de plus en plus fiables et rodés.
Par Dr. Oussama MARGHENI
Product and Delivery Manager chez Vneuron