Il y a beaucoup de « bruit » autour de la fréquence de filtrage du portefeuille de relations d’affaires. Ces bruits concernent aussi bien la réglementation « Gel des avoirs » avec son lot d’interprétations que les fonctionnalités des logiciels versus leur adéquation à la réglementation. Dans une récente enquête menée auprès d’organismes assujettis à la lutte contre le blanchiment, les pratiques des entreprises nous sont apparues pour le moins disparates. Alors entre ceux qui filtrent leur portefeuille de relations d’affaires en temps réels et ceux qui ne filtrent jamais, quelle est la bonne pratique ? Eléments de réponse :
Ces chiffres sont issus de la deuxième édition de l’étude menée avec HEC Junior Conseil pour BeCLM.
Retrouvez les chiffres de cette étude dans notre livre blanc « Les logiciels de filtrage name screening » disponible en téléchargement sur la page d’accueil de notre site.
Que dit la réglementation sur le filtrage du portefeuille de relations d’affaires ?
Dans les « Lignes directrices conjointes de la Direction Générale du Trésor et de l’Autorité de contrôle prudentiel et de résolution sur la mise en œuvre des mesures de gel des avoirs, document de nature explicative, version mise à jour au 16 juin 2021 » les fréquences de filtrages sont précisées dans les considérants 99 et 100.
Le considérant 100 concerne le portefeuille. Le filtrage des bases de données de clientèle est effectué sans délai à compter de la publication des règlements européens ou arrêtés qui imposent de nouvelles mesures de gel, en abrogent ou rectifient des éléments d’identification des personnes ou entités précédemment désignées. Par exemple, un filtrage hebdomadaire des bases n’est pas à même de répondre aux exigences légales et européennes en matière de mise en œuvre des mesures de gel 67.
Le renvoi 67 aux notes de bas de page vise plusieurs décisions : Décision de la Commission des sanctions de l’ACPR du 13 juin 2018 (n°2017-07) §32-33. Décision de la Commission des sanctions de l’ACPR du 8 décembre 2018 (n°2015-08)
Les explications de l’ACPR et du Trésor sont donc très claires : pour le portefeuille de relations d’affaires, il ne faut pas raisonner en fréquence de filtrage mais sur un « temps réel de filtrage » répondant à la mise à jour d’une liste officielle (UE ou FR).
Quelles sont les conditions pour mettre en place un filtrage sans délai à compter de la publication des règlements européens ou arrêtés ?
La première condition est la mise à jour sans délai des listes de personnes (entrées, sorties)
Lorsque la réglementation demande un filtrage sans délai après la publication (des sanctions), elle n’imagine pas que les organismes vont devoir scruter en permanence le journal officiel pour immédiatement mettre à jour leurs listes. Non. Depuis plusieurs années la DGT en France, mais aussi l’UE, l’ONU, l’OFAC, …, toutes les autorités administratives ont mis en place des points d’API permettant d’obtenir en temps réel les données à jour des personnes sanctionnées.
Les organismes qui utilisent des listes commerciales avec un délai de mise à disposition des mises à jour d’au moins 24 heures s’imposent donc une double peine : non-conformité et coûts supplémentaires.
La seconde condition est la vitesse du traitement de filtrage
Pour comprendre les enjeux, nous proposons de faire un point de comparaison avec un bulletin météo qui doit donner des prévisions nationales à 24h :
- A quoi servirait un bulletin, quelle que soit la qualité de ses résultats, qui donnerait des prévisions à 24 h avec un traitement supérieur à 24 h ?
- A quoi servirait-il s’il donnait des prévisions à 24 h avec un traitement en quelques minutes mais dont les résultats seraient de mauvaise qualité ?
Les météorologistes doivent donc chercher les bons niveaux d’adéquation entre le niveau de sophistication du modèle de prévision, étendue des résultats, variété des sources de données, puissance de traitement des ordinateurs.
Le compliance officer est comme le météorologue. Sa solution de filtrage, doit répondre à une adéquation satisfaisante entre plusieurs facteurs.
La vitesse du traitement de filtrage vise le temps nécessaire pour appliquer la liste mise à jour sur le stock ou portefeuille de relations d’affaires. Cette « vitesse » est contrainte par 5 facteurs :
- Les caractéristiques de l’algorithme de filtrage : la littérature sur le « Name screening » est très riche en discussion sur la question des temps de traitements des différents algorithmes, et montre que les choix d’algorithmes se font aussi en fonction de ce critère. Un très bon algorithme[1] pouvant être écarté du fait d’un temps d’exécution trop long[2].
Les caractéristiques de la piste d’audit : des traces sont-elles enregistrées pour apporter la preuve que chaque personne du portefeuille a bien été filtrée avec la nouvelle version de la liste employée ?
Le nombre de changements sur la liste utilisée : il est possible de s’étalonner sur un nombre moyen de changements (environ une dizaine par version de liste), mais il faut aussi tenir compte des cas de changements les plus importants rencontrés notamment dans le cadre des « paquets » de sanctions de l’UE (plusieurs dizaines de changements pour certaines versions de liste).
Le volume du portefeuille de relations d’affaires : sachant que la piste d’audit exige de « passer » sur chaque personne du portefeuille de relations d’affaires, son volume mesuré en nombre de personnes à filtrer est toujours un point critique. Ce point critique est renforcé lorsque la base de données d’un organisme financier cohabite avec d’autres bases de données, par exemple dans un système Saas qui mutualise plusieurs clients. Sauf dans le cas très particulier et exceptionnel où le système peut paralléliser les traitements de chaque client, les traitements sont gérés dans une file d’attente et l’on se demande qui passera le premier ? Qui passera le dernier ?
L’infrastructure informatique utilisée pour le filtrage : c’est d’évidence un facteur clé.
En résumé, nous vous livrons ici quelques points d’attention pour les organismes qui souhaitent vérifier la conformité de leur solution de filtrage et (re)évaluer leur cahier des charges :
- Le délai de mise à jour des listes,
- L’évènement déclencheur du filtrage du portefeuille,
- L’existence de benchmark sur les temps de traitements d’un portefeuille : milliers de personnes ; centaines de milliers de personnes ; millions de personnes
- La permanence de la piste d’audit,
- Une solution technique permettant d’éviter les files d’attentes quand plusieurs traitements concurrents sont lancés en même temps.
Il va sans dire que le compliance officer, tout comme le météorologue, doit s’inscrire dans une logique budgétaire réaliste. Nous renvoyons le lecteur à notre livre blanc sur le coût de la conformité réglementaire où nous analysons les positionnements des entreprises face à la réglementation et les classons en 4 catégories : non-conformes, contre-conformes, conformes, sur-conformes.
Les solutions proposées par BeCLM pour le traitement du portefeuille :
Le délai de mise à jour des listes :
En standard, maximum 30 minutes. Les mises à jour sont horodatées dans le système.
L’évènement déclencheur du filtrage du portefeuille :
Mise à jour d’une liste de sanctions lorsque le client a opté pour une solution technique présentée ci-dessous*
L’existence de benchmark sur les temps de traitements d’un portefeuille : milliers de personnes ; centaines de milliers de personnes ; millions de personnes :
8 minutes pour 20 millions de personnes (Voir à ce sujet la vidéo d’un ingénieur informatique membre de 4SH, notre partenaire informatique)
La permanence de la piste d’audit :
Technologie PCRTM (lire notre article sur le sujet)
*Une solution technique adaptée aux exigences de délai de traitement (minutes, heures, …) :
Nœud(s) de calcul dédié(s)
SaaS privé
Parallel processing
[1] Balance entre le nombre de faux négatifs et de faux positifs
[2] Ce point a une importance particulière pour le fonctionnement des API dont le temps de réponse doit être largement inférieur à la seconde
Vous souhaitez en savoir plus sur ce sujet, n’hésitez pas à nous contacter :
