Source : Bulletin officiel du CECEI et de la commission bancaire, n° 5, juillet 2008, p. 16

Commission bancaire
3 juillet 2008


Vu [...]

SOCIÉTÉ GÉNÉRALE
Blâme et sanction pécuniaire (4 000 000 euros) – 3 juillet 2008
La Commission bancaire, composée de M. REDOUIN, Président, et de MM. De VILLEROCHÉ, JURGENSEN, de VULPILLIÈRES, CHARRUAULT, ICARD et LAPOMME, membres ;

Après avoir entendu, lors de la séance du 20 juin 2008, les représentants de l’établissement ; Après en avoir délibéré en la seule présence de ses membres ;

Sur la qualité du système de contrôle des opérations et des procédures internes, en particulier la maîtrise des risques opérationnels

Considérant qu’en application de l’article 5a du règlement n° 97-02 susvisé, le système de contrôle des opérations et des procédures internes a pour objet, dans des conditions optimales de sécurité, de fiabilité et d’exhaustivité, de vérifier que les opérations réalisées par l’entreprise, ainsi que l’organisation et les procédures internes, sont conformes aux dispositions en vigueur propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, ou qu’il s’agisse de normes professionnelles et déontologiques ou d’instructions de l’organe exécutif prises notamment en application des orientations de l’organe délibérant ; que l’article 32 dudit règlement susvisé prévoit plus particulièrement que les entreprises assujetties se dotent des moyens adaptés à la maîtrise des risques opérationnels ;

Article 5
Le système de contrôle des opérations et des procédures internes a notamment pour objet, dans des conditions optimales de sécurité, de fiabilité et d’exhaustivité, de :
a) vérifier que les opérations réalisées par l’entreprise, ainsi que l’organisation et les procédures internes, sont conformes aux dispositions en vigueur propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises notamment en application des orientations de l’organe délibérant ;

Article 32
Les entreprises assujetties se dotent des moyens adaptés à la maîtrise des risques opérationnels, y compris juridiques.
Elles mettent en place des systèmes de surveillance et de maîtrise des risques, notamment de crédit, de marché, de taux d’intérêt global, d’intermédiation, de règlement et de liquidité, faisant apparaître des limites internes ainsi que les conditions dans lesquelles ces limites sont respectées.
Les entreprises assujetties et les compagnies financières mentionnées à l’article 2 du présent règlement doivent en outre disposer de systèmes de surveillance et de maîtrise des risques de crédit, de marché, de taux d’intérêt global, de règlement et de liquidité leur permettant d’appréhender ces risques sur une base consolidée dans les conditions prévues au deuxième alinéa de l’article 17.

Sur les contrôles hiérarchiques

Considérant qu’il ressort de l’instruction que de graves défaillances ont eu lieu dans le suivi et le contrôle de premier niveau, telles qu’elles étaient définies par les règles internes pour le premier niveau hiérarchique de l’opérateur de marché Monsieur A (ci-après l’opérateur) ; que, notamment, le suivi détaillé et quotidien de l’activité de cet opérateur n’a pas été assuré, alors que les informations mises à la disposition de la hiérarchie, en particulier la balance de trésorerie des portefeuilles gérés par cet opérateur, ont fait ressortir tout au long de l’année 2007 des soldes et des variations difficilement explicables au regard des activités confiées à celui-ci ;

qu’aucun contrôle n’a été fait, sur la copie envoyée à la hiérarchie de l’opérateur, des réponses du service de déontologie à EUREX qui avait demandé des explications sur la stratégie sous-jacente à des prises de positions ; que les écarts identifiés à l’occasion des travaux de réconciliation des résultats comptables et de gestion, dont la ligne hiérarchique directe a été avisée en mars et avril 2007, n’ont pas donné lieu à des demandes de justifications à l’opérateur ; qu’il n’y a pas eu ultérieurement d’analyse suffisante de l’origine des gains affichés par cet opérateur, en dépit du fait que ces résultats très favorables paraissaient difficilement explicables par les seules opérations qu’il était autorisé à effectuer, notamment dans les conditions de marché prévalant au 4e trimestre 2007 ;

que la hiérarchie n’a pas non plus veillé à ce que l’opérateur applique la procédure interne en vigueur en matière de prise de congés, qui fait partie du dispositif de surveillance permanente et a une importance spécifique pour les activités de marché ;

Sur les contrôles permanents exercés par les autres services

Considérant qu’il ressort de l’instruction que les agents des unités chargées des contrôles, notamment du post-marché et du suivi de marché, étaient insuffisamment sensibilisés aux problématiques de fraude et de détournement, la détection de la fraude devant faire explicitement partie de leurs missions ; que, alors que ces services disposaient de certaines données dont le contrôle, s’il avait été effectué au niveau individuel, aurait pu permettre d’identifier les positions de l’opérateur contraires aux règles, leurs diligences se consacraient en priorité à l’apurement des anomalies ; que les écarts apparus à plusieurs reprises en 2007 n’avaient pas suscité d’investigations suffisamment approfondies, alors que les explications et justificatifs apportés par l’opérateur comportaient des anomalies ou des carences ; qu’en outre, il n’existait pas de dispositif de profilage permettant d’identifier un nombre élevé d’anomalies imputables à un même opérateur ;

que de manière plus générale, ces services, qui étaient très chargés par les tâches d’exécution, manifestaient peu de recul par rapport à la nature des opérations ou des mouvements traités ; que, organisés par produit, en dehors de toute approche transversale, ils ne disposaient pas d’une vision globale des opérations en suspens ou en anomalie par « desk » ou centre d’activité ; que, de même, les investigations conduites par la Direction des risques dans le cadre du traitement d’écarts entre les résultats économiques et comptables et la réaction de la Direction de la déontologie aux demandes d’informations qui lui ont été transmises par EUREX sur les opérations initiées par cet opérateur n’ont pas été conformes à ce qu’exigeait la prévention du risque de fraude ; que ces faiblesses étaient de nature à affecter dans ce domaine la qualité du système de contrôle interne des activités de marché, faute d’être compensées par d’autres contrôles ;

Considérant, en outre, que sur plusieurs points les procédures internes, conçues pour la maîtrise des risques de marché, n’étaient pas bien adaptées au suivi du risque opérationnel et ont permis que les manœuvres d’occultation ne soient pas détectées ; qu'il en est ainsi par exemple de l’absence d’échange de confirmations avec les contreparties internes au groupe ou de l’abandon du contrôle quotidien des flux dits de provisions en 2006, suite à l’automatisation des contrôles mensuels ;

Considérant que certaines failles du dispositif de contrôle permanent et faiblesses de la sécurité du système d’information avaient été identifiées par le contrôle périodique, qui a émis des préconisations visant, par exemple, au renforcement des procédures de traitement des confirmations et celles de contrôle, de modification et d’annulation de transactions ; que, toutefois, les actions correctrices nécessaires ont tardé à être réalisées en raison d’une sous-estimation des risques opérationnels encourus pour des activités qui comportaient moins de risques de marché et n’ont ainsi pas reçu des moyens adéquats pour la prévention de ce risque ;

Considérant qu’au regard de tous ces éléments, il est établi que le système ne répondait pas aux exigences prévues par les articles 5 et 32 susvisés, en raison de son insuffisante prise en compte du risque opérationnel et en particulier du risque de fraude ; que l’infraction est donc établie et a perduré pendant plus d'un an ;

Sur les autres aspects du contrôle interne

Considérant que l'article 7-1 du règlement n° 97-02 susvisé impose une stricte indépendance entre les unités chargées de l’engagement des opérations et les unités chargées de leur validation, notamment comptable, de leur règlement ainsi que du suivi des diligences liées à la surveillance des risques ;

Considérant qu’il ressort de l’instruction que si les « assistants traders » étaient hiérarchiquement rattachés au suivi de marché, ils n’ont pas disposé, en pratique, au cas d’espèce, de l’indépendance nécessaire vis-à-vis des opérateurs ; qu’en outre les opérateurs du desk « Delta one » bénéficiaient de très larges droits de création, modification et suppression d’opérations dans l’application informatique, ce desk ne devant être couvert que courant 2008 par le projet d’interdiction de saisie des opérations par les opérateurs de marché ; que de ce fait l’infraction à l’article 7-1 est établie au moment de l’enquête ;

Article 7
1. L’organisation des entreprises assujetties adoptée en application du point a de l’article 6 doit être conçue de manière à assurer une stricte indépendance entre les unités chargées de l’engagement des opérations et les unités chargées de leur validation, notamment comptable, de leur règlement ainsi que du suivi des diligences liées à la surveillance des risques.
Cette indépendance pourra être assurée par un rattachement hiérarchique différent de ces unités jusqu’à un niveau suffisamment élevé ou par une organisation qui garantisse une séparation claire des fonctions ou encore par des procédures, éventuellement informatiques, conçues dans ce but et dont l’entreprise est en mesure de justifier l’adéquation.
La rémunération des personnels des unités chargées de la validation des opérations est fixée indépendamment de celle des métiers dont ils valident ou vérifient les opérations, et à un niveau suffisant pour disposer de personnels qualifiés et expérimentés ; elle tient compte de la réalisation des objectifs associés à la fonction.
Les entreprises assujetties désignent un ou plusieurs responsables pour le contrôle permanent prévu au premier tiret du point a de l’article 6. Les responsables de niveau le plus élevé lorsqu’ils ne sont pas membres de l’organe exécutif ne doivent effectuer aucune opération commerciale, financière ou comptable.
En cas de pluralité de responsables de niveau le plus élevé du contrôle permanent, un membre de l’organe exécutif assure la cohérence et l’efficacité dudit contrôle.


Sur les moyens du contrôle interne

Considérant que l’article 9 alinéa 1 du règlement n° 97-02 susvisé précise que les entreprises assujetties doivent s'assurer que le nombre et la qualification des personnes qui participent au fonctionnement du système de contrôle ainsi que les moyens mis à leur disposition sont adaptés aux activités, à la taille et aux implantations de l'entreprise ;

Considérant qu’il ressort de l’instruction et notamment d’un rapport interne transmis à la direction à la fin de 2007 que les moyens affectés au contrôle permanent étaient insuffisants en termes quantitatifs comme qualitatifs, au regard de la nécessité de prévenir le risque opérationnel ; que les renforts certes importants consentis concernaient surtout les activités considérées comme les plus complexes et réputées plus risquées, mais n’empêchaient pas des situations tendues sur certaines activités en particulier le desk « Delta One » ; qu’en dépit d’un effort de recrutement important en 2007, il était reconnu par le contrôle périodique de l'entreprise que « le desserrement de la contrainte budgétaire en 2007 devrait être prolongé sur plusieurs années pour résorber durablement le sous-dimensionnement de ces fonctions » ; que dans ces conditions l’infraction à l’article 9 alinéa 1 est établie au moment de l’enquête ;

Article 9
Les entreprises assujetties s’assurent que le nombre et la qualification des personnes mentionnées à l’article 6, ainsi que les moyens mis à leur disposition, en particulier les outils de suivi et les méthodes d’analyse de risques, sont adaptés aux activités, à la taille et aux implantations de l’entreprise.

Sur la sécurité informatique

Considérant que l’article 14 a du règlement n° 97-02 susvisé prévoit que les établissements apprécient périodiquement le niveau de sécurité des systèmes informatiques et entreprennent, le cas échéant, les actions correctrices nécessaires ;

Considérant qu’il ressort de l’instruction que la sécurité du système d’information présentait des failles importantes mises en évidence par l’Inspection interne ; que le projet visant à mettre fin à la saisie des transactions par les opérateurs n’avait pas été mis en œuvre, au moment de l’enquête diligentée par la Commission, au sein du desk « Delta one », ce qui a permis à l’opérateur de créer, modifier et supprimer les opérations fictives utilisées pour dissimuler ses risques et ses résultats ; que l’infraction est donc établie au moment de l’enquête ;

Article 14
Les entreprises assujetties déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Elles veillent au niveau de sécurité retenu et à ce que leurs systèmes d’information soient adaptés.
Le contrôle des systèmes d’information doit notamment permettre de s’assurer que :
a) le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ;

Sur le dispositif de limites

Considérant que l’article 32-1 du règlement n° 97-02 susvisé dispose que les entreprises assujetties doivent procéder à un réexamen régulier des systèmes de mesure des risques et de détermination des limites afin de vérifier la pertinence au regard de l’évolution de leur activité ; que l’article 34 dudit règlement prévoit que les entreprises assujetties doivent se doter de dispositifs permettant de s’assurer en permanence du respect des procédures et des limites fixées ;

Article 32-1
Les entreprises assujetties doivent procéder à un réexamen régulier des systèmes de mesure des risques et de détermination des limites afin d’en vérifier la pertinence au regard de l’évolution de l’activité, de l’environnement des marchés, de l’environnement économique en fonction du cycle d’activité ou des techniques d’analyse.
Lorsqu’une entreprise assujettie décide de réaliser des opérations portant sur de nouveaux produits ou d’opérer des transformations à un produit préexistant, pour cette entreprise ou pour le marché, le système de contrôle permanent doit permettre de s’assurer :
a) que l’analyse spécifique des risques a été conduite de manière rigoureuse et préalable ;
b) de l’adéquation des procédures de mesure, de limite et de contrôle des risques encourus ;
c) que, le cas échéant, les adaptations nécessaires aux procédures en place ont été engagées.

Article 34
Les entreprises assujetties se dotent de dispositifs permettant, selon des procédures formalisées :
a) de s’assurer en permanence du respect des procédures et des limites fixées ;
b) de procéder à l’analyse des causes du non-respect éventuel des procédures et des limites ;
c) d’informer les entités ou les personnes qui sont désignées à cet effet de l’ampleur de ces dépassements et des actions correctrices qui sont proposées ou entreprises.

Considérant qu’il ressort de l’instruction que le dispositif de limites encadrant l’activité du desk « Delta one » était inadapté au suivi du risque opérationnel en raison en particulier de l’absence de limites sur les positions brutes et sur les positions intra journalières ; que si des limites sur les positions nettes sont susceptibles de permettre un suivi approprié des risques de marché, ainsi que le fait valoir l’établissement, ce seul suivi ne permet pas d’identifier des transactions de montants particulièrement significatifs qui engagent l’établissement et comportent donc un risque opérationnel important ; qu’il ressort également de l’instruction qu’un nombre élevé de dépassements des limites avait été constaté ; que les limites, étant regardées comme fixées à un niveau relativement bas, fonctionnaient de ce fait plus comme des indicateurs d’alerte que comme des limites impératives exigées par la réglementation ; que l’infraction aux articles 32-1 et 34 est donc établie au moment de l’enquête ;

* **

Considérant qu’il résulte de tout ce qui précède, sans qu'il y ait lieu de retenir les autres éléments mentionnés dans la lettre de griefs, que les défaillances relevées, en particulier les carences des contrôles hiérarchiques, se sont poursuivies pendant une longue période, à savoir l’année 2007, sans que le système de contrôle interne n’ait permis de les déceler et de les corriger ; que cette persistance révèle des carences graves du système de contrôle interne dépassant la répétition de simples défaillances individuelles ; que ces carences ont rendu possible le développement de la fraude et ses graves conséquences financières ; que le fait que ces lacunes n’étaient pas connues de la direction, qui ne pouvait ainsi y remédier, ne peut être invoqué par la SOCIÉTÉ GÉNÉRALE pour s'exonérer de sa responsabilité au regard de la réglementation bancaire ; qu’ainsi la SOCIÉTÉ GÉNÉRALE a enfreint plusieurs dispositions essentielles de la réglementation applicable en matière de contrôle interne ;

Considérant toutefois que la SOCIÉTÉ GÉNÉRALE a, dès la découverte de la fraude, mis de très importants moyens en œuvre pour remédier aux faiblesses identifiées tant par l’adoption de mesures à court terme que par des mesures structurelles, comme l’attestent les rapports du Comité spécial constitué par le Conseil d’administration évoqués lors des débats ;

Considérant qu’il y a lieu, eu égard à la gravité des infractions commises et en tenant compte de l’importance et de la rapidité des efforts déployés dès la découverte de la fraude pour corriger les défaillances du dispositif de contrôle interne, de prononcer à l’encontre de la SOCIÉTÉ GÉNÉRALE, en application de l’article L. 613-21 du Code monétaire et financier, un blâme assorti d’une sanction pécuniaire d’un montant de quatre millions d’euros ;

Décide :
Article 1er

Il est prononcé un blâme à l’encontre de la SOCIÉTÉ GÉNÉRALE sise 29 boulevard Haussmann, Paris 9e ;
Article 2
Il est également prononcé une sanction pécuniaire d’un montant de quatre millions d’euros.

Commission bancaire
Exercice du pouvoir disciplinaire.
Article L613-21

Modifié par Loi n°2003-706 du 1 août 2003 - art. 46 (V) JORF 2 août 2003
I. - Si un établissement de crédit, ou une des personnes mentionnées au premier alinéa de l'article L. 613-2 a enfreint une disposition législative ou réglementaire afférente à son activité, n'a pas répondu à une recommandation ou n'a pas tenu compte d'une mise en garde ou encore n'a pas respecté les conditions particulières posées ou les engagements pris à l'occasion d'une demande d'agrément ou d'une autorisation ou dérogation prévue par les dispositions législatives ou réglementaires applicables aux établissements de crédit et aux entreprises d'investissement, la commission bancaire, sous réserve des compétences de l'Autorité des marchés financiers, peut prononcer l'une des sanctions disciplinaires suivantes :

1. L'avertissement ;

2. Le blâme ;

3. L'interdiction d'effectuer certaines opérations et toutes autres limitations dans l'exercice de l'activité ;

4. La suspension temporaire de l'une ou de plusieurs des personnes mentionnées à l'article L. 511-13 et à l'article L. 532-2 avec ou sans nomination d'administrateur provisoire ;

5. La démission d'office de l'une ou de plusieurs de ces mêmes personnes avec ou sans nomination d'administrateur provisoire ;

6. La radiation de l'établissement de crédit ou de l'entreprise d'investissement de la liste des établissements de crédit ou des entreprises d'investissement agréés avec ou sans nomination d'un liquidateur.

Il en va de même s'il n'a pas été déféré à l'injonction prévue à l'article L. 613-16.

En outre, la commission bancaire peut prononcer, soit à la place, soit en sus de ces sanctions, une sanction pécuniaire au plus égale au capital minimum auquel est astreinte la personne morale sanctionnée. Les sommes correspondantes sont recouvrées par le Trésor public et versées au budget de l'État.

II. - La commission bancaire peut également décider, soit à la place, soit en sus de ces sanctions, d'interdire ou de limiter la distribution d'un dividende aux actionnaires ou d'une rémunération des parts sociales aux sociétaires des personnes mentionnées au I.

Lorsqu'elle prononce une des sanctions disciplinaires ci-dessus énumérées à l'encontre d'un prestataire de services d'investissement, la commission bancaire en informe l'Autorité des marchés financiers.

III. - La commission bancaire peut décider que les sanctions prises dans le cadre du présent article feront l'objet d'une publication aux frais de la personne morale sanctionnée dans les journaux ou publications que la commission désigne.

NOTA:
Dans sa décision n° 2011-200 QPC du 2 décembre 2011 (NOR CSCX11328868S), le Conseil constitutionnel a déclaré contraire à la Constitution l'article L. 613-21. La déclaration d'inconstitutionnalité prend effet à compter de la publication de la présente décision dans les conditions fixées par son considérant 9.

Règlement n° 2000-10 du 8 décembre 2000 relatif aux montants en euros

Les montants en francs figurant dans les règlements susvisés, rappelés dans la première colonne du tableau ci-dessous sont remplacés par les montants libellés en euros tels que figurant dans la troisième colonne de ce tableau, à partir du 1er janvier 2002 :
CRB n°92-14 (article 1) : 5 000 000 €

(Banques, banques mutualistes ou coopératives, caisses d'épargne et de prévoyance, institutions financières spécialisées, caisses de crédit municipal qui effectuent toutes opérations)