Compte tenu de leurs obligations réglementaires, et sous la supervision de l’ACPR, les fintechs continuent de renforcer les ressources allouées à la conformité. La bonne gestion des problématiques de conformité par l’entreprise et la connaissance fine de ces sujets par l’équipe dirigeante leur offrent un avantage concurrentiel, notamment dans le cadre d’opérations d’acquisition-cession et de levées de fonds.
De l’importance des ressources en matière de conformité chez les fintechs
Par Sidne Koenigsberg et Margot Gibergues-Sève du cabinet Skadden
Les entreprises dites "fintechs" sont soumises, en France, à la même réglementation que tout autre entreprise du secteur financier. Elles doivent ainsi solliciter l’agrément de l’ACPR afin d’exercer des activités de banque, d’assurance, ou d’investissement. Pour celles qui exercent une activité d’intermédiation, l’enregistrement auprès de l’Orias est nécessaire. Si dans certains pays les fintechs peuvent proposer leurs services selon un cadre réglementaire spécifique et allégé (système dit de "sand-box"), l’ACPR s’est opposée à cette approche. L’autorité française a privilégié la création d’un "guichet unique » afin d’accompagner les fintechs régulées en France dans leur démarche de conformité.
Les contraintes pesant sur les fintechs sont nombreuses. En particulier, le Code monétaire et financier ("CMF") leur impose d’adopter un dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme ("LCB-FT"). Le CMF fait également peser sur les fintechs des obligations en matière de gel des avoirs, d’authentification des utilisateurs de services de paiement, d’agrégation de comptes et d’initiation de paiement. Au regard de ces contraintes, et sous la supervision de l’ACPR, les fintechs n’ont de cesse de renforcer les ressources allouées à la conformité, qu’il s’agisse de moyens humains, d’investissements technologiques, ou du temps consacré par l’équipe dirigeante aux problématiques de conformité.
Les attentes de l’ACPR en matière de ressources dédiées à la conformité
Les attentes de l’ACPR en matière de ressources allouées au dispositif de conformité s’expriment dans ses lignes directrices et dans ses décisions de contrôle, à l’occasion desquelles l’ACPR procède à une analyse au cas par cas. Ainsi, la Commission des sanctions de l’ACPR a pu faire preuve de retenue vis-à-vis de start-up se trouvant face à des questions complexes d’interprétation de la réglementation. La Commission a admis dans une décision rendue en début d’année qu’il avait pu être "délicat" pour une entité de déterminer si son activité de cagnotte relevait de l’activité réglementée d’intermédiation en financement participatif, de laquelle aurait découlé une obligation d’enregistrement auprès de l’Orias et l’adoption d’un dispositif LCB-FT. Au moment de déterminer la sanction applicable, la Commission a notamment pris en compte la "très petite taille" de l’entreprise et sa création récente.
Mais la pédagogie n’exclut pas la sanction lorsque des manquements sont identifiés. L’ACPR identifie ces manquements en prenant en compte, notamment, les ressources allouées par l’entité contrôlée afin d’assurer sa conformité avec la réglementation applicable. Il est ainsi attendu des entités assujetties qu’elles se dotent de moyens humains suffisants pour analyser les anomalies détectées par leur dispositif LCB-FT. Les entités déterminent qui, parmi leur personnel, bénéficie d’une formation régulière.
Les fintechs françaises s’exposent à des standards éventuellement divergents lorsqu’elles proposent leurs services à l’étranger.
Dans une décision rendue en mai 2021, la Commission des sanctions a déduit, sur la base des délais de traitement des alertes LCB-FT et de transmission de déclaration de soupçon à Tracfin, qu’une société ne s’était pas dotée de moyens humains suffisants. En 2018 déjà, l’ACPR avait sanctionné une entité notamment pour n’avoir affecté qu’un nombre "manifestement insuffisant" de personnes à son dispositif LCB-FT. Ceci, alors même que l’entité faisait valoir que l’augmentation des déclarations de soupçons sur la période de contrôle était purement conjoncturelle et résultait d’une meilleure sensibilisation de ses salariés aux problématiques LCB-FT.
Au-delà de leurs moyens humains, les fintechs investissent de plus en plus dans des dispositifs de contrôles automatisés, proposés notamment par des entreprises dites "regtechs". Si le CMF n’impose pas les contrôles automatisés, l’ACPR considère qu’ils deviennent nécessaires en matière d’identification et de vérification de la clientèle en fonction de la taille de l’organisme, de la nature de ses activités ou des risques identifiés. L’accroissement des ressources dédiées aux contrôles des flux de données financières permet également aux fintechs de se prémunir face à la multiplication des attaques informatiques les visant.
Les fintechs françaises s’exposent à des standards éventuellement divergents lorsqu’elles proposent leurs services à l’étranger. Ainsi, une fintech ayant son siège au sein d’un pays de l’Union européenne et exerçant son activité dans un autre État membre de l’Union par le biais de la liberté d’établissement sera soumise à la supervision des régulateurs du pays d’origine et d’accueil. Pour autant, l’ACPR comme la Commission européenne travaillent à harmoniser la supervision des fintechs en Europe et au-delà. Ainsi, en 2018, la Commission européenne a dévoilé un plan d’action pour faire de l’Europe le centre mondial des fintechs ; et en avril 2020, l’ACPR a signé un accord de coopération sur l’innovation financière avec le New York State Department of Financial Services. L’accord vise notamment à établir un "cadre spécifique favorable au secteur des fintechs" afin qu’elles puissent fournir leurs services dans ces deux pays.
L’implication de l’équipe dirigeante comme valeur ajoutée
La gouvernance des fintechs doit faciliter la remontée des sujets de conformité à l’équipe dirigeante. Le CMF exige notamment que les dirigeants effectifs et les organes de surveillance des entités assujetties soient informés des anomalies significatives détectées par le dispositif de LCB-FT. Ils sont également informés des carences du dispositif identifiées lors du contrôle interne, ou constatées par une autorité de contrôle nationale ou étrangère. L’ACPR a ainsi récemment sanctionné une entreprise pour ne pas avoir fourni au conseil d’administration d’information quantitative sur le stock d’alertes non traitées pendant un an.
Le renforcement des équipes conformité et l’implication de l’équipe dirigeante permettent également aux fintechs de se poser comme partenaires de confiance et de s’assurer un avantage concurrentiel important. C’est notamment le cas en matière de recherche d’investisseurs. Dans le cadre d’opérations d’acquisition-cession et de levées de fonds en particulier, la bonne gestion des problématiques de conformité par l’entreprise, et la connaissance fine de ces problématiques par l’équipe dirigeante, font partie inhérente de sa valeur transactionnelle.
Les auteurs souhaitent également remercier Luc Colin pour
la qualité de ses recherches
SUR LES AUTEURS
Avec les équipes de Skadden dans le monde, Sidne Koenigsberg et Margot Gibergues-Sève conseillent des groupes français et internationaux aux prises avec de multiples autorités et réglementations, notamment à l’occasion d’enquêtes internes, revues de programmes de conformité, et d’opérations M&A.
La pratique de Skadden couvre tout le spectre des besoins conformité des entreprises : audit d’acquisition, programme de conformité, cartographies des risques, enquête interne, relations avec les autorités et remédiation.
