ACPR : sanction de la Banque Chaabi du Maroc pour manquements LCB-FT

L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a sanctionné la Banque Chaabi du Maroc (BCDM) pour des manquements en matière de Lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Cette décision, relayée par le média spécialisé LCB-FT.fr, rappelle les exigences structurantes du cadre français et européen applicables aux établissements offrant des services sur le marché français. Au-delà du seul cas d’espèce, l’affaire illustre les attentes opérationnelles de l’ACPR sur la gouvernance, l’évaluation des risques, le KYC/EDD, les flux et la surveillance des opérations, ainsi que le dispositif de contrôle interne et d’audit.

Pour les compliance officers expérimentés, ce retour d’expérience éclaire la ligne de crête entre un dispositif « sur le papier » et l’effectivité exigée par l’ACPR : traçabilité des diligences, articulation entre cartographie des risques et mesures d’atténuation, seuils d’alertes fondés risque, pilotage pertinent des KPI/KRI, et preuve d’une supervision active par les organes de direction.

1. Cadre réglementaire et attentes de l’ACPR

Le corpus applicable combine le Code monétaire et financier, les règlements européens, ainsi que les lignes directrices et positions des autorités de supervision. L’ACPR exige la mise en œuvre d’un dispositif proportionné aux risques (risk-based approach), une gouvernance claire, une cartographie actualisée, des processus robustes de connaissance client (KYC) et de vigilance renforcée (EDD), un filtrage des sanctions et embargos, une surveillance des transactions (TM) efficace, une gestion documentée des alertes et déclarations de soupçon, des contrôles permanents et périodiques, et un reporting au top management.

Dans la jurisprudence de la Commission des sanctions de l’ACPR, la récurrence des griefs porte sur l’insuffisance de l’analyse de risque, la faiblesse des seuils/paramétrages TM, la qualité documentaire KYC, la gouvernance de la conformité (effectifs/compétences/outillage), et l’audit interne. La décision concernant BCDM s’inscrit dans ce continuum d’exigence en matière d’effectivité et de traçabilité.

2. Gouvernance et culture de conformité

Un dispositif LCB-FT crédible repose sur une chaîne de responsabilités claire, du conseil d’administration à la première ligne. Les organes de direction doivent démontrer une supervision active : revue régulière des tableaux de bord LCB-FT, validation des politiques, approbation des appétits au risque et arbitrage des moyens. L’ACPR apprécie la capacité à prouver, dossiers à l’appui, que les décisions de gouvernance se traduisent en actions opérationnelles (renforcement des équipes, projets de remédiation, évolution des outils).

L’affaire BCDM met en perspective l’importance d’une gouvernance alignée sur la cartographie des risques du portefeuille: segments clientèle, zones géographiques, produits/canaux, typologies d’usage. Une culture de conformité mature implique la formation ciblée des métiers, la responsabilisation de la première ligne et une seconde ligne dotée d’une autorité effective.

3. Cartographie des risques et approche fondée sur les risques

La cartographie doit être documentée, revue périodiquement et alimentée par des données internes (incidents, alertes, typologies détectées) et externes (typologies nationales, sanctions internationales, notes des autorités). Elle structure les diligences par segment: KYC initial vs recertification, EDD pour PEP, non-résidents, pays sensibles, activités cash-intensives, correspondance bancaire, commerce international, intermédiaires. L’ACPR vérifie la cohérence entre cette cartographie et les paramétrages des outils: seuils TM, scenarios, listes de sanctions, modèles de scoring.

Les contrôles thématiques révèlent souvent des décalages entre l’évaluation des risques et les mesures appliquées. L’enjeu est d’assurer une traçabilité: pourquoi tel seuil, quel rationnel statistique, quels tests périodiques de performance, quel plan d’amélioration continue.

4. KYC, EDD et documentation

Les inspections l’illustrent: les défaillances KYC/EDD sont centrales dans les sanctions. Le dossier client doit permettre de reconstituer l’identification, le bénéficiaire effectif, la nature et l’objet de la relation d’affaires, les sources de fonds et de richesse lorsque requis, ainsi que les contrôles de sanctions et PEP. Les segments à risque élevé requièrent une vigilance renforcée: approbation senior, justification des tolérances, fréquence accrue de revue, exigences documentaires étendues.

La qualité des données (master data) et la complétude documentaire sont déterminantes. L’ACPR investit ce terrain: preuve d’authenticité, fraudes documentaires, cohérence inter-systèmes, persistance des écarts ouverts. Les backlogs de remédiation doivent être pilotés, avec priorisation risque, jalons, et taux d’achèvement démontrables.

5. Filtrage des sanctions et embargos

Le filtrage à l’entrée et en continu (clients, tiers, bénéficiaires) et sur les transactions doit couvrir les listes pertinentes (UE, ONU, États nationaux le cas échéant) et garantir l’actualisation en temps voulu. Les performances de matching (qualité phonétique, translitération) et la gestion des faux positifs sont évaluées. Les changements géopolitiques exigent une capacité d’adaptation rapide: gel des avoirs, déploiement de règles spécifiques, re-screening de portefeuilles.

La documentation de la revue des alertes et des décisions de dédouanement est essentielle: rationales, preuves, approbations, délais. Une piste d’audit doit permettre de retracer chaque action.

6. Surveillance des transactions (Transaction Monitoring)

La performance du TM est examinée sous l’angle du design (typologies couvertes, scénarios), du paramétrage (seuils, scores), de la gouvernance des changements (change management), des tests périodiques (efficacité, calibration), et de la capacité d’analyse (qualité des investigations, délais, escalades). Les volumes d’alertes doivent être soutenables et corrélés aux risques. L’ACPR attend des validations formelles pour tout ajustement majeur et une traçabilité de bout en bout.

Les corridors internationaux, la correspondance bancaire et les flux vers des zones sensibles appellent des scénarios spécifiques. Les signaux faibles (structuration, schémas circulaires, transactions de complaisance) nécessitent des modèles raffinés et l’apport d’intelligence métier.

7. Déclarations de soupçon et relations avec Tracfin

Le dispositif doit garantir la détection, l’escalade et la déclaration diligente des soupçons. Les délais, la qualité des narratifs, la pertinence des pièces jointes, la cohérence entre alertes et DS sont des points d’attention. Les retours de Tracfin et les réquisitions judiciaires doivent nourrir le dispositif d’amélioration continue.

8. Contrôle interne, audit et reporting

Le contrôle permanent de deuxième niveau doit tester l’effectivité réelle: échantillonnages ciblés, tests inopinés, revues thématiques, tests de backtesting TM. L’audit interne évalue la robustesse globale, l’indépendance et la maturité du dispositif. Les plans d’action doivent être suivis, avec une gouvernance qui arbitre les priorités et les budgets. Les reportings à la direction restituent une vision consolidée des expositions, incidents, tendances et remédiations.

9. Spécificités des établissements à réseau international

Les banques opérant entre plusieurs juridictions doivent concilier les exigences locales et françaises/européennes. L’ACPR attend une traduction concrète en France: dispositifs locaux adaptés, franchising governance, SLA/OLA solides, accès aux données, audits croisés. L’harmonisation des politiques et l’alignement des seuils sont des facteurs critiques.

10. Leçons opérationnelles pour les compliance officers

Au vu de la sanction de la Banque Chaabi du Maroc, les priorités opérationnelles se concentrent sur: une cartographie réactualisée et justifiée; un KYC/EDD irréprochable, notamment pour les clients à risque élevé; un TM calibré, validé et testé; un filtrage des sanctions à jour avec une gestion mature des faux positifs; et un dispositif de contrôle interne exigeant, supporté par un audit indépendant.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Refondre la cartographie des risques LCB-FT et documenter les rationales de seuils et scénarios; lancer un plan de tests et de re-calibration trimestriels.
• Mettre à niveau le KYC/EDD: backlog risk-based, preuves d’origine des fonds pour risques élevés, revue annuelle des PEP et non-résidents.
• Renforcer le filtrage sanctions: mises à jour quotidiennes, re-screening périodique des portefeuilles, procédures écrites pour le dédouanement.
• Professionnaliser l’enquête TM: modèles de narratifs, délais cibles, matrice d’escalade et qualité des dossiers de déclaration Tracfin.
• Muscler la gouvernance: KPI/KRI LCB-FT en COMEX, suivi des plans d’actions et des capacités (effectifs, compétences, outils).