Quiz #6. La conformité, encore !

La Cour de cassation a jugé dans un arrêt du 27 septembre 2023 que « le respect par une entreprise des obligations imposées aux articles L. 561-1 et suivants du Code monétaire et financier pour lutter contre le blanchiment des capitaux et le financement du terrorisme engendre nécessairement pour elle des coûts supplémentaires. Il en résulte que le fait pour un concurrent de s’en affranchir confère à celui-ci un avantage concurrentiel indu, qui peut être constitutif d’une faute de concurrence déloyale » (Cour de cassation, Ch. Com., 27 septembre 2023, n°21-21.995).

Cette décision implique dès lors pour les organismes assujettis la prise en compte du risque de contentieux judiciaire en cas de non-respect des obligations applicables en matière de LCB-FT.

Le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, dit « Règlement DORA » est d’application directe et ne nécessite pas de transposition en droit français. Il s’applique à la grande majorité des établissements du secteur financier opérant dans l’Union européenne et établit des règles contraignantes pour la gestion des risques liés aux technologies de l’information et de la communication (ci-après « TIC »), la notification des incidents, les tests de résilience et la gestion des risques de tiers.

La Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (« SRI 2 » ou « NIS 2 ») est la législation européenne applicable de manière globale en matière de cybersécurité. Cependant, le Règlement DORA est dit « lex specialis » de NIS2 ce qui signifie que pour les entités visées par DORA ce règlement prime sur NIS 2.

Le Règlement DORA est complété par la Directive (UE) 2022/2556 du 14 décembre 2022 et par des normes techniques destinées à préciser leur mise en oeuvre dans les 12 à 18 mois.

La directive européenne Corporate Sustainability Reporting Directive (« CSRD ») quant à elle fixe de nouvelles normes et obligations de reporting extra-financier.

Au terme de l’article L. 561-15 du Code monétaire et financier, les organismes assujettis aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme « sont tenus de déclarer [à Tracfin] les sommes inscrites dans leurs livres ou les opérations portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu’elles proviennent d’une infraction passible d’une peine privative de liberté supérieure à un an ou sont liées au financement du terrorisme [ou encore à de la fraude fiscale] »

En 2023, sur les 186 556 déclarations de soupçon transmises à Tracfin par les professionnels des secteurs financier et non-financier, 1509 ont été rédigées par les institutions de prévoyance et mutuelles selon le bilan Tracfin 2023 « LCB-FT : activité des professions déclarantes », marquant une haude de 1% des déclarations par rapport à l’exercice 2022.

L’article 30 « Registre des activités de traitement » du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») impose que « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».

Devant être régulièrement mis à jour, il constitue un véritable outil de pilotage et de démonstration de la conformité pour le responsable de traitement, la Commission nationale de l’informatique et des libertés (CNIL) pouvant en demander la communication à l’occasion d’un contrôle des traitements de données.

Une dérogation à la tenue du registre existe pour les entreprises de moins de 250 salariés qui ne doivent inscrire au registre que les seuls traitements de données suivants :

• Le traitement est susceptible de comporter un risque pour les droits et libertés des personnes (ex : système de géolocalisation ou de vidéosurveillance),
• Le traitement n’est pas occasionnel (ex : gestion de la paie, gestion des clients, etc.),
• Le traitement porte sur des données sensibles (ex : données de santé, infractions, etc.).

Dans une décision rendue par la Commission des sanctions de l’ACPR, décision n° 2013-05 du 31 octobre 2014, le superviseur a infligé une sanction de 50 millions d’euros à l’égard de la société CNP ASSURANCES en raison des insuffisances constatées dans la mise en œuvre des exigences de la Loi n° 2007-1775 du 17 décembre 2007 relative à la recherche des bénéficiaires des contrats d’assurance vie non réclamés. L’ACPR, dont le collège avait proposé une sanction à hauteur de 100 millions d’euros, avait retenu comme griefs des manquements aux obligations concernant l’identification des assurés décédés, la recherche des bénéficiaires, l’établissement de la liste des contrats d’assurance vie dénoués comportant des montants non réglés.

Pour rappel, la Loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d’assurance vie en déshérence (« loi Eckert ») est venue compléter le dispositif législatif précité.

Depuis sa création en 1995, l’Indice de perception de la corruption est devenu selon Transparency International « le principal indicateur de la corruption dans le secteur public au niveau mondial. Il classe 180 pays et territoires du monde entier en fonction de la perception de la corruption dans le secteur public, à l’aide de données provenant de 13 sources externes dont la Banque mondiale, le Forum économique mondial, des sociétés privées de conseil et de gestion des risques, des groupes de réflexion, et d’autres sources. Les scores attribués reflètent les points de vue d’expert·e·s et de personnalités du monde des affaires, et non celui du public ».

Classée 20^e sur 180 pays dans l’édition 2023 de l’Indice de perception de la corruption publié par Transparency International le 30 janvier 2024, la France se classe derrière l’Autriche et perd une place par rapport à l’édition précédente. Le communiqué de presse de cette organisation non gouvernementale précise que la France stagne encore en raison du « manque d’exemplarité du pouvoir exécutif et au manque d’indépendance de l’autorité judiciaire ». Transparency International juge que la stagnation observée sur dix ans dans le score de la France « sanctionne la communication gouvernementale qui n’accorde aucune priorité à la politique de lutte contre la corruption malgré une législation et un appareil institutionnel parmi les meilleurs au plan européen ».

La notion de « gel des avoirs » renvoie à l’ensemble des mesures visant à restreindre l’accès de certaines personnes ou entités à leurs fonds ou ressources économiques en raison de leur implication dans des activités criminelles ou de violation du droit international.

Contrairement aux obligations en matière de LCB-FT qui s’imposent aux entités assujetties expressément énumérées à l’article L.561-2 du Code monétaire et financier, les mesures relatives au gel des avoirs prévues aux articles L.562-1 et suivants du même code s’imposent à toutes personnes physiques ou morales qui ont l’interdiction de réaliser toute opération, quel que soit son montant ou sa finalité, dès lors qu’elle bénéficie directement ou indirectement à une personne ou une entité inscrite sur une liste de gel des avoirs.

La Direction générale du Trésor tient et met à jour le registre national des personnes physiques ou morales faisant l’objet d’une mesure de gel, dont la consultation est publique sur Internet.

Le délégué à la protection des données (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.

L’article 37 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « RGPD ») impose au responsable du traitement et au sous-traitant la désignation d’un DPO dès lors que :

1. Le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
2. Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
3. Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.