Rappel des obligations professionnelles – Loi modifiée du 25 mars 2020 instituant un système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au Luxembourg (« Système Central » ou « CRBA »)

Aux professionnels visés par l’article 1er (6°) de la loi modifiée du 25 mars 2020 instituant un système électronique central de recherche de données concernant des comptes IBAN et des coffres-forts

Mesdames, Messieurs,

Par la présente, nous faisons référence aux obligations professionnelles prévues par la loi modifiée du 25 mars 2020 instituant un système électronique central de recherche de données concernant des comptes de paiement et des comptes bancaires identifiés par un numéro IBAN et des coffres-forts tenus par des établissements de crédit au Luxembourg (la « Loi »).

Conformément à l’article 2 de la Loi, les professionnels doivent mettre en place un fichier de données permettant l’identification de toute personne physique ou morale qui détient ou contrôle, auprès de tels professionnels, des comptes de paiement ou des comptes bancaires identifiés par un numéro IBAN, au sens de l’article 2, point 15, du règlement (UE) n° 260/2012 ou des coffres-forts (le « Fichier »).

Afin que les objectifs poursuivis par la Loi et par l’instauration du CRBA puissent être remplis et que l’identification des personnes physiques ou morales telles que susmentionnées puisse être faite, il est indispensable que le professionnel respecte, lors de la mise à disposition du Fichier, la structure du Fichier et le détail des données qui doivent y figurer, conformément à l’article 2 (4) de la Loi et tel que mentionné notamment par la Circulaire CSSF 20/747 précisant les modalités techniques relatives à l’application de la Loi, telle que modifiée (la « Circulaire »).

A cet effet, la CSSF attire tout particulièrement l’attention des professionnels sur les Annexes 1 et 2 de la Circulaire qui décrivent les modalités techniques à suivre strictement ainsi que la structure du fichier à soumettre à la CSSF. Le respect de la structure et des informations obligatoires vise à assurer une bonne transmission des données du Fichier dans le Système central qu’est le CRBA.

Il en résulte que le non-respect des modalités techniques décrites dans les Annexes précitées a un impact direct sur :

la fiabilité du CRBA, qui comme tout registre central, repose sur la qualité des données qui y sont injectées ;
l’exactitude des données transmises par la CSSF aux autorités nationales et aux organismes d’autorégulation qui disposent d’un accès au CRBA selon les modalités fixées par la Loi ; et
l’exactitude des résultats des recherches qui sont effectuées par des autorités nationales, dont la Cellule de Renseignement Financier, qui disposent d’un accès direct, immédiat et non filtré au CRBA, en vertu des dispositions de la Loi.

Par conséquent, des irrégularités lors de la mise à disposition du Fichier peuvent porter atteinte aux objectifs fixés par la Loi, et notamment entraver l’identification correcte et complète des comptes et coffres-forts par toutes les autorités et organismes d’auto-régulation, accédant aux données du CRBA dans le cadre de leurs missions respectives. Des lacunes dans la mise en place du Fichier ne sont donc pas acceptables et il doit y être remédié immédiatement.

La CSSF, en tant que gestionnaire du CRBA, a fourni aux professionnels un suivi continu lors de sa mise en place, notamment en leur apportant son assistance technique et juridique ainsi qu’en publiant (i) des informations sous forme de « questions-réponses », (ii) des communications via MFT et (iii) d’autres publications spécifiques visant à clarifier et à améliorer la structure du Fichier et sa mise à disposition dans le CRBA.

Plus précisément, la CSSF voudra, par le présent communiqué, en plus du rappel ci-dessus, attirer l’attention des professionnels sur quelques exemples de déficiences détectées par elle et d’autres utilisateurs accédant aux données du CRBA et qui devront être prises en compte par le professionnel lors de sa revue du respect de ses obligations en la matière.

Exemples de déficiences détectées

Parmi les déficiences détectées dans le contexte de l’utilisation du CRBA, il convient de signaler les exemples suivants :

inversion du nom et prénom dans les cases respectives du Fichier, dû à une mauvaise compréhension de « surname » et « name » en anglais alors que l’Annexe 2 de la Circulaire précise pour « surname » : « nom – Familienname – last name » ; et pour « name » : « prénom – Name – first name »
mauvaise compréhension de la différence entre le nom légal et le nom d’une personne morale (la Circulaire demandant le « legalName » de même que le « name », ce dernier étant défini comme « nom commercial officiel » ou « Usual business name »
absence d’informations obligatoires (i.e. champs vides) ou informations non pertinentes (par exemple recours à des caractères espaces ou à des simples lettres, p.ex. A. au lieu de Alfred comme prénom) reprises sous les champs « surname » ou « name »
volume du Fichier changeant considérablement d’un jour à l’autre, indiquant un problème systématique de non-soumission de toutes les données au jour le jour, sous réserve d’un nombre important de clôtures de comptes pouvant expliquer de telles variations
non-respect du format de la date (par exemple inversion mois et jour)
en présence de multiples noms/prénoms pour une personne, le professionnel n’a pas séparé correctement ces noms/prénoms par une virgule comme prévu par la Circulaire
erreurs constatées au niveau des rôles des personnes renseignées, c’est-à-dire que des personnes ont été renseignées comme étant titulaires de comptes alors qu’en réalité elles n’ont été que bénéficiaire effectif ou mandataire et vice-versa
des comptes renseignés comme actifs sont en fait des comptes déjà clôturés, etc.

Parmi les principales sources des problèmes qui peuvent mener vers de telles déficiences, il convient de citer les suivantes :

Donnée relative à la clientèle de mauvaise qualité, i.a. mal remplie et ne respectant pas la méthodologie exacte telle que prévue par l’annexe 2 de la Circulaire ; incomplète car données manquantes ; incorrecte car pas mise à jour dans les délais suivant un changement des données respectives du client, son bénéficiaire effectif et le cas échéant le mandataire sur le compte ; configuration ne permettant pas de respecter la méthodologie prévue par la Circulaire et ses annexes ;
Absence de contrôles notamment par les 2^ème et 3^ème lignes de défense, aussi bien sur la qualité de la signalétique client que sur les fichiers transmis dans le cadre du CRBA. Par exemple, absence d’évaluation par la fonction du contrôle interne en relation avec la réconciliation entre les données détenues par le professionnel et les données soumises dans le Fichier, ou encore la fonction d’audit interne n’ayant pas intégré la revue du respect des obligations du professionnel résultant de la Loi dans le périmètre de ses travaux.

Nom	Description	Durée
cssf_cookies	Sauvegarde des information concernant le consentement de l'utilisateur à l'utilisation de cookies pour chaque catégorie optionnelle.	1 an
ROUTEID	Cookie technique de répartition de charge.	Supprimé à la fin de la session
TBMCookie*	Sécurité : Ce cookie protège le site Internet contre des attaques automatisées.	Supprimé à la fin de la session
__utmvc	Ces cookies de premier niveau sont implémentés par un service tiers et permettent de filtrer les requêtes malveillantes.	Supprimé à la fin de la session
__utmvm*	Ces cookies de premier niveau sont implémentés par un service tiers et permettent de filtrer les requêtes malveillantes.	15 minutes

Nom	Description	Durée
cssf_profile	Ce cookie adapte les pages web au profil choisi par le visiteur (Professionnels, Marchés, Consommateurs).	1 an
pll_language	Ce cookie sauvegarde le choix de la langue de l’utilisateur.	1 an

Nom	Description	Durée
_pk_id.#	Recueille des statistiques anonymes sur les consultations du site Internet, telles que le nombre de visites, le temps moyen passé sur le site Internet. Les données sont traitées en interne et ne sont pas partagées avec des tiers.	1 an
_pk_ses.#	Recueille des statistiques anonymes pour le suivi des pages consultées durant la session. Les données sont traitées en interne et ne sont pas partagées avec des tiers.	30 minutes