La fintech Mangopay sanctionnée pour ses faiblesses contre le blanchiment
L'Autorité de contrôle et de résolution prudentiel (ACPR) a sanctionné la fintech Mangopay, dans une décision rendue le 22 décembre 2020. Le prestataire de paiement (PSP) français, appartenant au groupe Leetchi (lui-même détenu par Arkéa), a écopé d'un blâme et d'une sanction pécuniaire de 150 000 euros. Le régulateur français a relevé six manquements suite à un contrôle effectué entre février et juin 2018 qui porte sur les exercices 2016 et 2017. Ce qui a donné lieu à l'ouverture d'une procédure disciplinaire en mai 2019. La décision de sanction de l'ACPR peut faire l'objet d'un recours dans un délai de deux mois à compter de sa notification.
Créé en 2013, Mangopay a obtenu un agrément d'établissement de monnaie électronique au Luxembourg, qui a ensuite été passeporté en France, où la start-up réalise une grande partie de son activité. Ses principaux clients sont des marketplaces, des plateformes de financement participatif ainsi que des cagnottes en ligne.
"Mangopay ne vérifiait pas l'identité des créateurs de cagnottes Leetchi qui n'en étaient pas également bénéficiaires"
Les reproches formulés par l'ACPR concernent notamment ses procédures internes de lutte contre le blanchiment et financement du terrorisme (LCB-FT) ainsi que d'entrée en relation client. Mangopay vérifiait l'identité des clients détenteurs d'un portefeuille de monnaie électronique à partir de 2 500 euros par année civile alors que la réglementation impose une obligation dès que le seuil de 250 euros sur 30 jours est dépassé. Il y avait ainsi une absence d'identification de la majorité des détenteurs de portefeuille de Leetchi.
Deuxième manquement relevé : la classification des risques en termes de blanchiment et de financement du terrorisme de ses clients et des utilisateurs finaux étaient "insuffisamment adaptée à son activité". Le niveau de risque faible choisi pour l'activité de financement participatif "dons contre dons" était par exemple inadapté alors que deux institutions (le Gafi et Tracfin) évoquent un risque élevé, considère l'ACPR.
Les cagnottes Leetchi concernées
Le régulateur a également pointé des manquements dans "l'exercice de la vigilance". Mangopay ne vérifiait pas l'identité des créateurs de cagnottes Leetchi qui n'en étaient pas également bénéficiaires (mais vérifiait bien l'identité des bénéficiaires), ce qui représentait 17,7% des cagnottes. Elle estimait qu'elle "n'était pas en relation d'affaire avec eux". De plus, Mangopay ne vérifiait pas systématiquement l'identité des contributeurs à une cagnotte Leetchi. Entre janvier 2017 et février 2018, la fintech n'a identifié que 1 898 des 27 957 contributeurs répondant aux critères réglementaires (qui ont débouché sur 8 dossiers au total).
"Les efforts déjà engagés et toujours en cours doivent être notés ainsi que l'implication de la direction générale de l'établissement"
L'ACPR a également relevé que Mangopay n'a pas réalisé d'examen renforcé dans quatre dossiers qui concernaient soit des opérations particulièrement complexes ou d'un montant inhabituellement élevé soit ne paraissaient pas avoir de justification économique ou d'objet licite. A noter aussi que la fintech n'a pas effectué de déclaration de soupçons dans 35 dossiers ou séries de dossiers (dont 18 suspicions de fraudes aux moyens de paiement et 13 suspicions de financement du terrorisme) auprès de Tracfin. Le dernier manquement concerne le dispositif de gel des avoirs, qui était inefficace d'après l'ACPR. La réglementation interdit de mettre des fonds à disposition des personnes ayant fait l'objet d'une mesure restrictive dès le premier euro. Mangopay effectuait ce filtrage au-delà de 2 500 euros et pour les bénéficiaires de cagnottes, l'identité était vérifiée seulement en cas de versement supérieur à 1 000 euros.
Par la suite, Mangopay a fait l'objet d'un deuxième contrôle entre septembre et décembre 2019 qui a donné lieu à un rapport en avril 2020. Ce dernier a conclu que la fintech a mis en œuvre un plan d'amélioration de son dispositif LCB-FT. "Les efforts déjà engagés et toujours en cours doivent être notés ainsi que l'implication de la direction générale de l'établissement", a noté l'ACPR. "La lutte contre le blanchiment et le financement du terrorisme a toujours été au centre de nos priorités depuis la création de la société. Comme beaucoup de fintech, nous avons eu des contrôles des autorités françaises. Depuis début 2018, nous avons engagé plus de 4 millions d'euros dans la consolidation et l'évolution de tous ces dispositifs afin de répondre aux griefs de l'ACPR", indique Romain Mazeries, CEO de Mangopay, au JDN. "Nous ne sommes plus la même entreprise qu'à l'époque. Rien qu'en 2018, nous sommes passés de 45 à 65 collaborateurs, avec 10% d'entre-eux dédiés à ces contrôles", ajoute le dirigeant. Aujourd'hui, la fintech compte 170 salariés répartis dans plusieurs bureaux européens.
La filiale d'Arkéa n'est pas la première fintech française à être sanctionnée par l'ACPR. Le prestataire de paiement Lemonway a lui aussi écopé d'un blâme et d'une sanction pécuniaire de 80 000 euros pour des manquements aux obligations de connaissance du client, en 2017. Depuis, il avait également effectué les corrections nécessaires suite à cette décision.