25 ans
d'expérience
Nous avons obtenu
Plus de 20 distinctions
Heure du Mexique
14
Août

Conclusion de contrats et réalisation d'opérations par des moyens à distance

, ,
Pas de commentaires

14 août 2020 / Finance et banque

 

Demande d'autorisation pour la conclusion de contrats et des opérations par des moyens à distance

 

 

Mercredi dernier, le 29 juillet, la Commission nationale bancaire et des valeurs mobilières («CNBV« », afin de se conformer à la recommandation n° 15 du Groupe d'action financière («GAFI») concernant la nécessité pour les institutions financières d'identifier et d'évaluer les risques liés au blanchiment d'argent («LD») et du financement du terrorisme («FT») susceptibles de se présenter en lien avec l'utilisation de nouvelles technologies ou de technologies en cours de développement, a publié sur le portail «SITI PLD/FT« la » « Guide destiné aux sociétés financières à activités multiples non réglementées, aux conseillers en investissement et aux prestataires de services de transfert de fonds qui souhaitent déposer une demande d'autorisation pour conclure des contrats et effectuer des opérations par des moyens à distance »Guide« »

Compte tenu de ce qui précède, le présent bulletin d'information a pour objectif de résumer les informations les plus pertinentes contenues dans ledit Guide, qui pourra servir de référence aux sociétés à objet multiple non réglementées, aux conseillers en investissement et aux transmetteurs de fonds («entités assujetties ») afin qu'ils puissent envisager l'utilisation des nouvelles technologies et des moyens électroniques pour faire face à la situation à laquelle nous sommes actuellement confrontés et, ainsi, permettre aux institutions de continuer à fournir leurs services et à effectuer des opérations sans commettre d'infractions en matière de blanchiment d'argent et de financement du terrorisme.

Il convient de souligner que l'objectif principal du Guide est de servir d'outil d'aide aux entités assujetties souhaitant obtenir l'agrément de la CNBV pour conclure des contrats ou effectuer des opérations à distance, en respectant les exigences minimales lors du dépôt de leur demande écrite.

 

A. DEMANDE D'APPROBATION.

 

Les entités assujetties doivent, dans leur demande d'agrément concernant la procédure d'identification des clients, des clients potentiels ou des utilisateurs par des moyens à distance par la CNBV, la mise en œuvre des lignes directrices établies par l'entité assujettie afin de se conformer aux dispositions générales visées à l'article 115 de la loi sur les établissements de crédit, en liaison avec l'article 87-D de la loi générale sur les organisations et activités auxiliaires du crédit et l'article 95-Bis de cette dernière, applicables aux sociétés financières à objet multiple, les dispositions générales visées à l'article 95-Bis de ladite loi, applicables aux transmetteurs de fonds visés à l'article 81-A-Bis de ce même texte, et les dispositions générales visées à l'article 226-Bis de la loi sur le marché des valeurs mobilières, applicables aux conseillers en investissement (« Dispositions »), selon le cas, ainsi que de définir les méthodes, mesures ou processus que ces entités assujetties mettront en œuvre lors de l'identification à distance.

De même, il convient de mentionner que la procédure visée au paragraphe précédent pour l'identification à distance doit être mise en place, à titre indicatif mais non limitatif, par le biais d'un support audiovisuel, c'est-à-dire d'un dispositif faisant appel à la fois à l'ouïe et à la vue, et permettant de percevoir ces éléments en temps réel.

 

B. DOCUMENTS À JOINDRE À LA DEMANDE ÉCRITE.

 

Le document doit être déposé au service des dépôts de la CNBV, situé au 1971 Insurgentes Sur, Col. Guadalupe Inn, C.P. 01020, arrondissement d'Álvaro Obregón, Mexico.

Ce document doit être rédigé en espagnol et présenté en un original et deux copies, en précisant au moins les points suivants :

  • Être adressé à la Direction générale des autorisations spécialisées de la vice-présidence chargée de la réglementation ;
  • Indiquer la dénomination sociale et le numéro CASFIM ou, le cas échéant, le numéro d'enregistrement de l'entité soumise à l'obligation ;
  • Désignation d'un domicile sur le territoire national pour la signification et la réception des notifications, ainsi que d'au moins l'un de ses représentants ;
  • Présentation générale de la procédure d'identification à distance ;
  • Points de la requête, en y ajoutant expressément la demande de conclure des contrats ou d'effectuer des opérations à distance, dûment justifiée et motivée ;
  • Il doit être signé par le représentant légal et/ou le directeur général ; il convient également de joindre une copie simple de l'acte authentique attestant de cette qualité.

 

C. PROCÉDURE D'IDENTIFICATION À DISTANCE DE L'ENTITÉ.

 

Les entités assujetties doivent décrire en détail la procédure d'identification à distance qu'elles mettront en œuvre, en précisant l'ensemble des critères, procédures, contrôles, mesures et infrastructures technologiques prévus dans les dispositions.

Par ailleurs, le Guide recommande aux entités assujetties de joindre les documents en annexe à leur demande écrite, car ceux-ci pourront servir de pièces justificatives permettant à la CNBV de mieux examiner la demande et d'écarter ainsi tout doute.

Toutefois, en ce qui concerne les documents qui doivent porter la signature du responsable des risques ou de son équivalent, ou, à défaut, celle du comité d'audit, du conseil d'administration ou de l'administrateur unique de l'entité assujettie, cette exigence peut être satisfaite en présentant un document dans lequel les responsables susmentionnés ont consigné la désignation du responsable des risques.

Enfin, il est recommandé aux entités assujetties de joindre et de prendre en compte les critères énoncés dans les formulaires de conformité figurant dans le guide, car ces formulaires sont adaptés aux dispositions.

 

D. RISQUE TECHNOLOGIQUE

 

Compte tenu des nouvelles technologies utilisées par les entités assujetties pour l'identification à distance de leurs clients, il est important que celles-ci veillent à préciser, en fonction de la technologie employée, où chaque processus et chaque service est effectué, ainsi que l'emplacement précis où les informations seront stockées et traitées. De même, les entités assujetties doivent décrire l'architecture de la technologie utilisée, c'est-à-dire le type de cloud (public, privé ou hybride) et le nom du fournisseur, les lieux spécifiques où les informations seront stockées et traitées, ainsi que le projet de contrat.

De même, dans le cadre de la prévention des infractions en matière de blanchiment d'argent et de financement du terrorisme, la CNBV demande aux entités assujetties de fournir un schéma des télécommunications et une description des moyens utilisés pour le traitement et la transmission des informations, des données et des fichiers, garantissant leur intégrité, ainsi que de décrire la stratégie de continuité des activités, dite «Business Continuity Plan », de l'entité et de ses participants. Ces entités doivent garder à l'esprit qu'en cas d'imprévus, de défaillances ou d'interruptions de la technologie utilisée, une sauvegarde des informations, des données et des fichiers doit être conservée, et qu'elles doivent également indiquer l'emplacement de cette sauvegarde sur la plateforme utilisée.

De même, à titre de mesure de prévention supplémentaire, la technologie utilisée doit être approuvée par le responsable des risques ou son équivalent ; en l'absence d'un tel responsable, elle doit être approuvée par le comité d'audit, le conseil d'administration ou l'administrateur unique. De plus, cette technologie doit décrire les mécanismes de validation qui fournissent les paramètres de fiabilité sur la base desquels s'effectue la reconnaissance faciale du demandeur.

 

E. SÉCURITÉ DE L'INFORMATION

Les entités assujetties doivent décrire les mécanismes mis en place pour le stockage sécurisé des informations et la sécurisation des canaux de communication, ainsi que les mécanismes utilisés pour la gestion des accès aux systèmes utilisés dans le cadre du processus d'identification à distance ; elles doivent également décrire le processus de gestion des incidents liés à la sécurité de l'information qui sera mis en œuvre, ainsi que les politiques et procédures applicables à ces incidents.

Il est important que les entités assujetties gardent à l'esprit qu'une fois le projet approuvé, la phase de mise en œuvre débutera immédiatement, au cours de laquelle l'entité assujettie devra fournir à la CNBV les éléments suivants :

a. Résultats des tests visant à détecter les vulnérabilités et les menaces, ainsi que des tests d'intrusion sur les différents composants de l'infrastructure technologique utilisée dans le cadre du processus, qu'il s'agisse de l'infrastructure propre à l'entité ou de celle de tiers. De même, ils devront fournir la preuve que les vulnérabilités de l'entité détectées lors des tests ont été corrigées.

 

b. Tests d'étalonnage des mécanismes utilisés pour la reconnaissance faciale ou la vérification de tout autre élément biométrique utilisé.