5 moyens pour les établissements d'optimiser leur approche de la conformité aux sanctions

Le paysage des sanctions internationales continue d’évoluer à un rythme soutenu avec l’application continue de nouvelles désignations. En 2023, à eux seuls, les États-Unis ont ajouté 2500 entités à leur liste de sanctions principales. Les établissements financiers et autres entités réglementées ne peuvent donc pas se permettre de rester les bras croisés dans un environnement qui évolue sans cesse. Ils doivent donc plus que jamais réévaluer leur stratégie de conformité aux sanctions, sachant qu’une approche en couches avec de nombreuses lignes de défense offrira la meilleure protection contre les sanctions réglementaires et les dommages réputationnels liés aux violations.

Dans le cadre de la série de webinaires State of Compliance 2024 animée par ComplyAdvantage, des experts de notre équipe Affaires réglementaires, Anna Stylianou d’Amachine learning Cube et Yannick Cherel de Sleek ont partagé leurs réflexions sur les principes et les avantages d’une approche multicouche de la conformité aux sanctions.

Cet article analyse certains des principaux enseignements et éléments de discussion du webinaire qui sont synthétisés ici en cinq conseils directement applicables en 2024.

1. Comprendre l’origine des risques de sanctions

En matière de conformité aux sanctions, le point de départ pour un quelconque établissement est son profil de risque. En effet, les établissements doivent évaluer les risques auxquels ils seront confrontés en examinant les produits et les services les plus exposés, tels que la banque privée et d’autres services permettant aux clients d’agir dans l’anonymat ou en dehors de toute surveillance. En parallèle, les établissements doivent déterminer les profils de clients présentant un niveau de risque plus élevé, notamment les clients originaires de pays à haut risque ou ceux ayant des antécédents en matière de criminalité financière. Les établissements financiers présents sur la scène internationale doivent également maîtriser les différences entre les régimes de sanctions des nombreuses juridictions où ils opèrent.

Ces principes sont indispensables pour procéder à une évaluation des risques à l’échelle de l’établissement et qui doit être actualisée régulièrement, notamment lorsque des changements importants interviennent dans la réglementation sur les sanctions. Les renseignements issus de cette évaluation sont critiques pour définir une stratégie fondée sur le risque qui permettra aux établissements de consacrer leurs ressources aux domaines les plus vulnérables.

Cette approche souligne la nécessité de définir et de mettre en œuvre un programme de conformité sur mesure. Compte tenu des risques différents auxquels est confronté un établissement, y compris pour ceux qui évoluent dans le même secteur, une solution générique et universelle ne peut évidemment pas répondre de manière pertinente aux besoins spécifiques de chaque établissement.

Il ne peut y avoir de solution universelle. Mais pourquoi donc ? Parce que les cabinets d’avocats sont confrontés à des risques spécifiques lorsqu’ils traitent avec leurs clients, il n’est pas possible de comparer leurs risques avec ceux qui menacent les établissements bancaires. De même, les risques auxquels une banque est confrontée ne sont pas les mêmes que ceux que doit affronter un casino. Tous ces établissements étant des entités réglementées, ils doivent se conformer aux réglementations sur la lutte contre le blanchiment d’argent (LCB) et sur les sanctions tout en étant conscients de leurs propres risques et en prenant les mesures appropriées. Et ces mesures ne peuvent pas être les mêmes pour tous.

Anna Stylianou, fondatrice et directrice d’AML Cube

2. Savoir ce que sont de bonnes données 

Tandis que de nouvelles désignations de sanctions continuent d’être prononcées à un rythme soutenu, pour être effective, la conformité dépend de la capacité des établissements à se tenir informés de l’actualité des sanctions. Cependant, tous les fournisseurs de données ne se valent pas et les établissements peuvent mesurer la qualité et l’efficacité des données à l’aide des critères suivants : 

• Exactitude : Pour être efficaces, les données utilisées par les établissements doivent être exemptes d’erreurs. 
• Actualisation en temps réel : Les établissements doivent s’assurer de pouvoir disposer d’informations actualisées, dans l’idéal avec des mises à jour en temps réel des listes de sanctions.
• Couverture : Les données doivent provenir d’un large éventail de sources issues de toutes les juridictions pertinentes pour l’établissement et ses clients.
• Exhaustivité : Les établissements doivent déterminer les points de données dont ils ont besoin pour prendre des décisions éclairées en matière de conformité. Disposer uniquement d’un nom est souvent insuffisant pour identifier correctement une cible. La date de naissance et l’adresse sont deux autres points de données utiles pour confirmer l’identité d’une cible de sanctions, sachant que toutes les listes de sanctions ne fournissent pas ce type d’informations.
• Pertinence : Les données non pertinentes ou dupliquées peuvent déclencher des pics d’alertes faussement positives. Les établissements doivent donc veiller à ne filtrer les clients que par rapport à des données pertinentes. Par exemple, le filtrage opéré sur une entreprise spécifique doit éliminer tous les résultats antérieurs à sa constitution en société.
• Contexte : S’ils n’ont pas une vision globale de l’endroit et de la façon dont les données ont été capturées, les établissements risquent d’utiliser des informations dont l’intégrité ne peut être garantie.
• Réseaux : Les établissements doivent également comprendre les réseaux établis autour d’une entité visée par des sanctions afin de détecter toute tentative de contournement des sanctions. Ces relations peuvent être multiples, notamment avec des relations familiales qui peuvent aussi être des relations d’affaires et qui doivent donc faire l’objet d’une enquête.

La première étape consiste donc à comprendre le problème que vous devez résoudre. Ensuite, demandez-vous quelles données sont nécessaires pour solutionner ce problème. Ici, notre propos étant la gestion des risques de sanctions, vous devez vérifier si les données sur les sanctions sont d’une qualité suffisante et si vous disposez de tous les points de données pertinents pour résoudre le problème sous-jacent.

Andrew Davies, Responsable mondial des affaires réglementaires chez ComplyAdvantage

3. Procéder au filtrage quotidien des clients 

Comme les établissements financiers opèrent désormais dans un monde de paiements instantanés, les sanctions doivent être applicables instantanément afin d’être efficaces. 

En vertu des nouveaux règlements introduits par l’UE en 2024, tous les prestataires de services de paiement (PSP) doivent être en mesure d’envoyer et de recevoir des paiements instantanés. En plus d’imposer la modernisation des infrastructures de paiement de nombreux établissements financiers, ces nouvelles règles contraignent les banques et les prestataires de services de paiement à : 

• Vérifier au moins une fois par jour si leurs clients font l’objet de sanctions
• Filtrer les clients par rapport aux listes de sanctions qui viennent d’être actualisées plutôt qu’au moment du paiement, ceci afin d’éviter tout retard

Dans la pratique, cela implique de privilégier le filtrage régulier des clients plutôt que le filtrage des transactions dans le cadre de la conformité aux sanctions. Les établissements doivent s’assurer d’être prêts à cette évolution et d’actualiser régulièrement leur processus de filtrage pour tirer parti des informations les plus récentes sur les sanctions internationales. 

Néanmoins, cela ne veut pas dire que la surveillance des transactions n’est plus une priorité pour les établissements financiers. Cette dernière reste en effet un outil essentiel pour détecter des caractéristiques de paiement inhabituelles ou suspectes qui peuvent indiquer un contournement des sanctions.

Guide : Votre feuille de route LCB pour les paiements instantanés SEPA

Découvrez l'impact du passage aux paiements instantanés SEPA sur vos procédures de filtrage des clients.

Téléchargez votre exemplaire

4. Choisir les bons indicateurs clés de performance (KPI) 

Après avoir mis en place une équipe et des politiques pour satisfaire à leurs obligations de conformité aux sanctions, les établissements doivent s’assurer de l’efficacité des mesures qu’ils ont déployées. Pour ce faire, ils doivent utiliser des métriques et indicateurs clés de performance, tels que :

• Le volume d’alertes émises
• Les taux de faux positifs
• Le volume d’alertes reçues et traitées
• Le taux de renvoi (le volume d’alertes transmises à la deuxième ligne de défense de l’établissement)
• Le temps nécessaire pour intégrer les mises à jour des sanctions au système de l’établissement, après leur adoption par un gouvernement ou une autre autorité émettrice

Les dirigeants de l’établissement doivent surveiller ces métriques pour détecter des pics ou des tendances et les examiner de manière adaptée. Si, par exemple, un établissement constate une augmentation des taux de faux positifs, cela peut indiquer que la formation du personnel doit être renforcée ou que son système n’est pas assez sophistiqué pour ingérer en une seule fois un gros volume de nouvelles informations sur les désignations.

Ces mêmes dirigeants doivent savoir s’il y a eu une forte augmentation du nombre d’alertes pour une raison quelconque. Un volume important de nouvelles désignations ou un changement dans la structure des données sur les clients a peut-être provoqué un pic et impose donc d’avoir de la visibilité sur ces éléments pour maîtriser correctement le risque opérationnel.

Iain Armstrong, spécialiste des affaires réglementaires chez ComplyAdvantage

Une communication claire entre l’équipe Conformité et l’équipe commerciale est au cœur d’une puissante culture de l’évaluation des performances. Alors que l’équipe commerciale se concentre sur les ventes, l’équipe Conformité doit quant à elle s’assurer de bien comprendre ses clients afin que les politiques de conformité ne soient pas ignorées au profit des objectifs de croissance. 

5. Optimiser les processus de filtrage des sanctions avec l’apprentissage automatique

Si une conformité aux sanctions efficace repose sur le traitement de volumes de données importants et complexes, l’apprentissage automatique (machine learning) devient alors un outil essentiel pour permettre aux établissements de garder une longueur d’avance. Le machine learning permet d’une part d’automatiser les tâches répétitives ou à faible risque pour réserver l’expertise humaine à des tâches plus complexes et à plus haut risque et, d’autre part, d’extraire des renseignements des données à très grande échelle et au-delà de ce qui peut être fait manuellement. Plus précisément, le machine learning peut aider les établissements à filtrer les sanctions de trois façons majeures : 

• En obtenant et en nettoyant les bonnes informations : Il s’agit de collecter des données sur les clients et les transactions ainsi que leurs sources, de valider leur intégrité auprès des régulateurs et autres autorités et de supprimer tout point de données redondant ou en double. 
• En explorant les données : Un modèle de machine learning correctement configuré peut avoir une approche hautement intuitive et granulaire. De plus, il est possible d’ajouter de nouvelles règles pour tenir compte d’informations supplémentaires et s’assurer qu’un établissement filtre ses clients en s’appuyant sur des données pertinentes. Sont notamment concernés le caractère usuel d’un nom dans certains pays, les titres honorifiques et autres conventions de dénomination ainsi que les mots courants entrant dans la composition d’un nom de société qui ne devraient pas être pris en compte par les algorithmes de rapprochement (tels que « conseil » ou « entreprises »).
• En hiérarchisant les alertes concernant les sanctions : Les modèles de machine learning peuvent être entraînés à partir de données d’historique pour découvrir les cas à plus haut risque et à prioriser lors de la transmission d’alertes à l’équipe Conformité. Plutôt que de se contenter d’envoyer des alertes positives indifférenciées, un logiciel de filtrage peut analyser ces alertes pour rationaliser la charge de travail de l’équipe en charge de la conformité.

Vous devriez vous concentrer sur les risques les plus importants, ce qui permettra d’entraîner vos ressources d’apprentissage automatique ou toute autre IA à comprendre ce à quoi vous devez donner la priorité.

Yannick Cherel, responsable de la conformité et des risques chez Sleek.

Au moment de choisir une solution de filtrage des sanctions, un établissement devrait examiner en détail les déclarations des fournisseurs concernant les capacités de leur modèle machine learning, non seulement pour tester l’efficacité de la solution, mais aussi pour s’assurer que ces mêmes fournisseurs peuvent en expliquer le fonctionnement. L’explicabilité n’est pas seulement cruciale pour instaurer la confiance parmi les clients. Elle l’est aussi pour la conformité, car les autorités de réglementation attendent des établissements qu’ils démontrent le raisonnement qui explique leur utilisation de tel ou tel logiciel.