Wirecard scandale – Next, please!

lundi 05 Oct 2020

Deutsche Version unten

Par Jessica Fengler

« L’affaire Wirecard AG est un scandale sans précédent dans le monde financier. »[i]

Ce sont les mots du ministre allemand des finances, Olaf Scholz, lors d’une conférence de presse le 25 juin 2020 sur les événements de ces derniers jours. A mon avis, c’est plutôt du déjà vu, même si ce n’est pas directement du monde financier…

La société falsifie ses bilans, ainsi que des confirmations bancaires officielles depuis des années, feignant ainsi sa valeur et sa croissance sur le marché asiatique. En septembre 2018, Markus Braun a encore annoncé que les ventes et les bénéfices allaient doubler les deux prochaines années.[ii] Aujourd’hui, un an et neuf mois plus tard, il manque près de deux milliards d’Euros au bilan de Wirecard, soit un quart du total du bilan[iii] et il y a des mandats d’arrêt contre l’ex-PDG Markus Braun, ainsi que son Chef des Opérations, Jan Marsalek.[iv]

Dans l’intervalle, Wirecard s’est mis en faillite et les premiers effets se font déjà sentir, comme la chute rapide du cours de l’action et le gel de la licence britannique de Wirecard Solutions au Royaume-Uni par la Financial Conduct Authority jusqu’à nouvel ordre. Ceci signifie que les clients, qui ont leur argent dans des applications financières basées sur la technologie Wirecard, n’y auront pas accès pour le moment.[v]

« Ce qui s’est passé à Wirecard, une société de DAX, doit maintenant être rapidement et complètement éclairci. »[vi]

Dans la discussion entourant ce scandale, il est souligné à plusieurs reprises qu’il est particulièrement choquant que cela se produise à un membre du DAX. Comme si « l’adhésion » disait quelque chose sur la légalité ou la responsabilité d’une entreprise dans la conduite de ses affaires.

Le 22 juin 2020, la bourse allemande, du moins dans l’affaire Wirecard, n’a pas jugé nécessaire d’agir malgré les nouvelles admissions et la forte baisse de la valeur des actions, car elle se considère comme une autorité neutre. La bonne gouvernance d’entreprise et la durabilité ne jouaient aucun rôle dans la sélection de la première ligue boursière. Seuls la valeur boursière et le volume des transactions des actions décident de la présence dans le DAX.[vii] En même temps, la présence dans le DAX fait de l’entreprise un investissement automatique des fonds de pension du monde entier.[viii]

Autant pour la durabilité…

Néanmoins, le DAX est considéré comme « le fleuron de l’économie allemande et un label de qualité avec les 30 entreprises allemandes les plus précieuses ».[ix]

Tant que les entreprises seront considérées comme les héros de l’Allemagne ou de l’économie en général, que sur la base de la valeur boursière et le volume de transactions des actions, et tant que les investisseurs et les autres acteurs du marché ne feront pas preuve de considération pour la cruauté de la gestion de ces entreprises lors de leur évaluation, il ne faut pas s’étonner que les entreprises feront tout ce qu’il faut pour y appartenir, quel qu’en soit le coût… dans le vrai sens du terme.

A petite et à grande échelle…

On retrouve le même mécanisme au sein des sociétés frauduleuses, comme dans le scandale de la très célèbre banque Wells Fargo, où les « top performers » étaient fortement récompensés, tandis que les employés, qui n’atteignaient pas des objectifs de vente irréalistes étaient amenés à craindre pour leur emploi[x], ce qui a conduit, entre autres, à l’ouverture d’innombrables faux comptes pour répondre aux exigences mégalomanes.

Malgré un avertissement en juin 2015 de l’OCC concernant les objectifs de vente dépassés, il a fallu attendre octobre 2016 et surtout la pression du public et du Congrès pour convaincre la direction de Wells Fargo d’éliminer les objectifs de vente irréalistes[xi] afin d’éviter de nouvelles actions illégales.

Pour moi, cela signifie que même les législateurs, les régulateurs et les autorités de contrôle, comme le Bafin, ont encore peu d’influence sur les actions des entreprises malgré les progrès déjà réalisés.

Une autre perspective

Dans son livre « The Infinite game » Simon Sinek présente un modèle très intéressant dans lequel il met en relation la performance professionnelle avec la fiabilité. Ce modèle a été développé par les Navy Seals, qu’il considère comme l’une des organisations les plus efficaces au monde.[xii]

Figure 1 – Evaluation des candidats sur deux axes [xiii]

Sur l’axe de la performance, vous évaluez les candidats pour leurs performances professionnelles, y compris les compétences liées à l’emploi, sur l’autre axe, le rapport à la confiance, qui se caractérise par divers aspects personnels, tels qu’une certaine humilité et le sens de la responsabilité personnelle du candidat. Vous évaluez également s’ils ont une influence positive sur les autres membres de l’équipe.

Ils ont conclu que ce n’est pas parce que l’on fait confiance aux compétences d’une personne qu’ils la considèrent nécessairement comme digne de confiance. Ils choisiraient un employé performant à un niveau « médiocre » (si on regarde purement des « chiffres ») et digne de confiance plutôt qu’un employé avec des tendances narcissiques qui performe à haut niveau auquel on ne peut pas faire confiance.

Pour Sinek, la « confiance » dans ce contexte est une mesure du type de personne que vous êtes, mais les organisations ont tendance à mettre trop l’accent sur la performance pure[xiv] sans jamais se demander si cette « excellence » peut être atteinte légalement. En outre, les personnes très performantes et peu confiantes avec des comportements toxiques sont inondées de primes et de promotions.

Après tout, tout ce qui brille n’est pas de l’or.

Conclusion

Dans un système qui s’en tient à la vieille croyance selon laquelle nous sommes dans un vivier à requins et pouvons être soit des requins, soit des poissons comestibles, soit manger ou être mangé, et dans lequel tous les moyens semblent être permis, au moins pour les gros poissons, même les règles, les lois et les contrôles les mieux intentionnés auront peu d’effet. Le facteur décisif pour le fonctionnement reste généralement l’être humain.

Nous cherchons la sécurité, et pourtant nous avons tendance à nourrir les requins, qui obtiennent des résultats rapides et exceptionnels, plutôt que d’investir dans les dauphins intelligents et durables ou les baleines calmes et dignes de confiance, qui n’avancent peut-être pas aussi vite et aussi imprudemment que les requins, mais eux aussi, ils atteignent leur destination sans laisser de bain de sang sur leur chemin.

« Un scandale comme celui de Wirecard doit nous rappeler que nous avons besoin de plus de surveillance et de contrôle sur les marchés financiers qu’aujourd’hui. »[xv]

Au cours des dix dernières années, beaucoup d’efforts ont déjà été déployés pour adopter des lois supplémentaires ou réviser les lois existantes, imposer des contrôles toujours plus stricts et créer d’énormes appareils administratifs qui poussent les petites et moyennes entreprises presque à la limite de leurs possibilités.

Cependant, des géants tels que la Deutsche Bank, VW ou Daimler, qui sont représentés dans le DAX, se permettent de violer à maintes reprises les règles et les lois à grande échelle, ce qui représente un grand danger non seulement pour les entreprises elles-mêmes, mais aussi pour des marchés entiers. Je ne veux même pas parler de l’atteinte à la réputation du marché financier touché ici.

Le scandale actuel de Wirecard nous ramène au fiasco d’Enron qui a secoué le monde financier il y a une bonne dizaine d’années et qui présente des parallèles étonnants avec le cas présent.

Je ne pense pas que des réformes des lois, des autorités ou des contrôles puissent vraiment résoudre le problème. Dans le cas de Wirecard, on dit que leur structure les mettait dans la zone grise des responsabilités entre les différentes autorités de surveillance financière et l’absence de réglementation qui en résulte a contribué à ce dilemme[xvi], mais si l’on regarde l’histoire de Wirecard et aussi les différentes déclarations de soupçons qui arrivent depuis 2008, quelque chose aurait pu s’y passer bien avant, malgré l’incertitude quant à l’identité d’organisme officiellement responsable, ou au moins se rendre compte qu’il faut se poser cette question.

Malgré les réformes et les réglementations de plus en plus complexes, la tromperie criminelle de ces entreprises ne semble pas diminuer, j’en conclus que la solution ne réside pas seulement dans les autorités de surveillance ou les organes de contrôle interne et externe, mais plutôt dans la manière dont nous façonnons l’économie.

Quelle valeur devrait avoir la performance à tout prix, avec tout ce que nous savons aujourd’hui et ne devrait-il pas englobé plus que le prix de l’action et le volume des transactions lorsqu’on évalue l’affiliation des entreprises à une élite boursière telle que le DAX, ne devrait-on pas aussi considérer de quelle manière l’entreprise réalise des bénéfices et dans quelle mesure elle contribue au développement positif et à la stabilité de l’ensemble du marché.

Je trouve que de telles démarches ont une fonction de signal beaucoup plus forte que 1000 lois… vides.

Nous devons commencer à regarder au-delà des chiffres et nous demander si l’entreprise dont on fait l’éloge est suffisamment durable pour maintenir la valeur à long terme, et si ce n’est pas le cas, nous devons alors retirer le terreau fertile pour ces entreprises afin de protéger les marchés.

Je pense en particulier aux investisseurs, aux épargnants et aux autres acteurs du marché, qui ont à mes yeux le devoir, également dans leur propre intérêt, de surveiller de près les entreprises dont le développement semble trop beau pour être vrai, afin de ne pas parier sur un éphémère et ainsi mettre en danger les marchés et leurs propres avoirs.


[i] https://www.bundesfinanzministerium.de/Content/DE/Video/2020/2020-06-25-statement-lufthansa/2020-06-25-statement-lufthansa.html

[ii] https://www.ft.com/content/284fb1ad-ddc0-45df-a075-0709b36868db

[iii] https://www.n-tv.de/wirtschaft/der_boersen_tag/Diese-Lehren-lassen-sich-aus-dem-Wirecard-Skandal-ziehen-article21871683.html

[iv] https://handelsblatt.com/finanzen/banken-versicherungen/finanzdienstleister-neuer-haftbefehl-fuer-ex-manager-von-wirecard-ermittler-suchen-jan-marsalek/25945436.html?ticket=ST-3722882-1p7Z46AM7fjbSdbKr3zO-ap4

[v] https://www.bbc.com/news/business-53198409

[vi] Ibidem

[vii] https://boerse.ard.de/multimedia/audios-und-videos/boerse-vor-acht/hr_22_06_2020_114.html

[viii] https://www.ft.com/content/284fb1ad-ddc0-45df-a075-0709b36868db

[ix] Ibidem

[x] #N20-001 Notice of charges (OCC) against Carrie Tolstedt (Former Head of the Community Bank, Wells Fargo), p. 23

[xi] Idem p. 33

[xii] Sinek Simon, The infinate game, p. 108 ss, 2019

[xiii] http://www.petewargent.com/2019/11/26/from-toxic-team-to-dream-team/

[xiv] Ibidem

[xv] Ibidem

[xvi] https://www.nzz.ch/wirtschaft/betrugsskandal-wirecard-warum-deutsche-finanzaufsicht-scheiterte-ld.1562975


Wirecard Skandal – ein Weckruf – na dann gute Nacht!

Von Jessica Fengler

« Der Fall Wirecard AG ist ein Skandal, der in der Finanzwelt schon seinesgleichen sucht. »[1] 

Das sind die Worte von Olaf Scholz, dem deutschen Finanzminister bei einer Pressekonferenz am 25.06.2020 zu den Geschehnissen der letzten Tage.

Für mich persönlich eher ein Déjà-vu, wenn auch nicht direkt aus der Finanzwelt…

Das Unternehmen hat seine Bilanzen, sowie offizielle Bankbestätigungen über Jahre gefälscht und somit seinen Wert und sein Wachstum auf dem asiatischen Markt vorgetäuscht. Im September 2018 kündigte Markus Braun noch die Verdoppelung der Verkäufe und Profite an.[2]

Nun, ein Jahr und neun Monate später fehlen fast 2Mrd. EUR in Wirecards Bilanz, was 1/4 der gesamten Bilanzsumme ausmacht[3] und gegen den Ex-CEO Markus Braun und seinem Chief Operating Manager, Jan Marsalek liegen Haftbefehle vor. Mittlerweile hat Wirecard Insolvenz angemeldet und es zeigen sich schon die ersten Auswirkungen, so ist der Aktienkurs rasant in den Keller gerauscht und in Grossbritannien wurde die UK Lizenz der Wirecard Solutions durch die Financial Conduct Authority bis auf weiteres eingefroren, was bedeutet, dass Kunden, die deren Geld bei Finanzapps haben, die auf der Wirecard Technologie basieren, erst einmal keinen Zugriff haben.[4]

« Was sich bei Wirecard zugetragen hat, einem DAX Konzern, muss nun schnell und gründlich aufgeklärt werden. »[5]

In der Diskussion rund um diesen Skandal wird immer wieder betont, dass es speziell schockierend ist, dass das bei einem DAX-Konzern passiert. Als ob die « Mitgliedschaft » etwas darüber aussagen würde, wie gesetzestreu oder verantwortungsbewusst ein Unternehmen seine Geschäfte führt.

Am 22.06.2020 sah die deutsche Börse, zumindest im Fall Wirecard, trotz der neuen Eingeständnisse und der stark gefallenen Aktienwerte keine Notwendigkeit zu handeln, da sie sich als neutrale Instanz sieht. Gute Unternehmensführung und Nachhaltigkeit spielen bei der Auswahl der ersten Börsenliga keine Rolle. Lediglich der Börsenwert und der Handelsumsatz mit den Aktien entscheiden über die Präsenz im DAX.[6] Die Präsenz im DAX macht das Unternehmen zu einer automatischen Investition von Pensionskassen der ganzen Welt.[7]

Soviel zum Thema Nachhaltigkeit….

Trotzdem gilt der DAX, als « Aushängeschild der deutschen Wirtschaft und als Qualitätssiegel mit den 30 deutschen wertvollsten Unternehmen. »[8]

Solange Unternehmen allein durch die oben aufgeführten Kriterien zu den Helden von Deutschland oder der Wirtschaft allgemein gekürt werden und von Investoren und Marktakteuren bei der Bewertung von Unternehmen keine Rücksicht auf die Rücksichtslosigkeit in der Unternehmensführung dieser Unternehmen genommen wird, darf man sich nicht wundern, dass Unternehmen das tun werden, was nötig ist, um dazu zu gehören, koste es was es wolle…. im wahrsten Sinne des Wortes.

Wie im Grossen, so im Kleinen…

Den gleichen Mechanismus findet man auch innerhalb der betrügenden Unternehmen wieder, wie im Skandal der hochgelobten Bank Wells Fargo, bei dem die « Top Performer » hoch belohnt wurden, während Mitarbeiter, die die unrealistischen Verkaufsziele nicht erreichten um ihren Job bangen mussten[9], was unter anderem dazu führte, dass unzählige Falschkonten eröffnet wurden um den grössenwahnsinnigen Anforderungen gerecht zu werden.

Trotz Verwarnung im Juni 2015 durch die OCC betreffend der überzogenen Verkaufsziele hat es bis Oktober 2016  und vor allem Druck aus der Öffentlichkeit und des Kongresses gebraucht, um das Management von Wells Fargo davon zu überzeugen, die unrealistischen Verkaufsziele zu eliminieren[10], um weitere gesetzeswidrige Handlungen zu vermeiden.

Das bedeutet für mich, dass selbst Gesetzgeber, regulierende und kontrollierende Behörden, wie z.B. die Bafin, trotz des Fortschritts noch immer wenig Einfluss auf die Machenschaften von Unternehmen haben.

Eine andere Perspektive  

Simon Sinek beschreibt in seinem ein für dieses Thema interessantes Modell zu High Perfomance Mitarbeitern im Vergleich zu High Trust Mitarbeitern, welches von den Navy Seals erarbeitet wurde, die er für eine der effizientes Organisationen der Welt hält.[11]

Figure 1 – Beurteilungen eine Bewerbers auf zwei Achsen [12]

Sie bewerten hier die Kandidaten auf der einen Achse für Ihre Arbeitsleistung, inklusive stellenbezogene Kompetenzen, in Bezug zum Vertrauen auf der zweiten Achse, welches sich durch verschiedene persönliche Aspekte, wie zum Beispiel eine gewisse Demut und einen Sinn für persönliche Verantwortung des Kandidaten auszeichnet. Es wird auch bewertet, ob sie einen positiven Einfluss auf andere Teammitglieder haben.[13]

Sie sind zu dem Schluss gekommen, dass nur weil man den Kompetenzen einer Person traut, diese nicht auch unbedingt für vertrauenswürdig hält. [14] Sie würden eher einen vertrauenswürdigen « mittelmässigen » Performer wählen, als einen zum Narzissmus tendierenden High-Performer dem man nicht über den Weg trauen kann. [15]

Für Sinek ist « Trust » in diesem Kontext ein Mass, was für eine Person Du bist, Organisationen tendieren jedoch dazu, zu viel Wert auf die pure Leistung zu legen[16], ohne jemals zu hinterfragen, ob solch « Glanzleistungen » überhaupt legal erreicht werden können. Zusätzlich werden High-Performer mit Low-Trust für toxisches Verhalten mit Boni und Beförderungen überhäuft.

Es ist eben doch nicht alles Gold was glänzt.

Fazit

In einem System welches am alten Glaubenssatz festhält, dass wir uns in einem Haifischbecken befinden und entweder zu den Haien oder Futterfischen gehören können, wir entweder fressen oder gefressen werden und in dem alle Mittel erlaubt zu sein scheinen, zumindest für die grossen Fische, werden auch die bestgemeinten Regeln, Gesetze und Kontrollen wenig Wirkung zeigen. Der ausschlaggebende Faktor für das Funktionieren ist meist immer noch der Mensch.

Wir sehnen uns nach Sicherheit und füttern doch eher die Haie, die schnelle und herausragende Ergebnisse erzielen, anstatt  in die intelligenten nachhaltigen Delfine oder die ruhigen und vertrauenswürdigen Wale zu investieren, die vielleicht nicht so schnell und rücksichtslos vorwärts kommen, wie die Haie und trotzdem zum Ziel kommen, ohne ein Blutbad zu hinterlassen.

«Ein solcher Skandal wie bei Wirecard muss ein Weckruf sein, dass wir mehr Aufsicht über und mehr Kontrolle für die Finanzmärkte brauchen als wir sie heute haben.»[17]

Wenn man die letzten 10 Jahre betrachtet, so wurde bereits viel Aufwand betrieben, um zusätzliche Gesetze zu verabschieden oder bestehende zu überarbeiten, immer strengere Kontrollen anzuordnen und riesige administrative Apparate zu kreieren, die mittelständische Unternehmen fast an den Rand ihrer Möglichkeiten drängen.

Giganten, wie sie im DAX vertreten sind, wie z.B. die Deutsche Bank, VW oder Daimler, erlauben sich jedoch immer wieder im grossen Stil gegen Regeln und Gesetze zu verstossen, was nicht nur für die Firmen selbst, sondern auch für ganze Märkte eine grosse Gefahr darstellt. Von dem Reputationsschaden für den hier betroffenen Finanzmarkt möchte ich gar nicht erst reden. 

Der aktuelle Skandal von Wirecard versetzt uns zurück zum Enron-Fiasco, welches bereits vor gut 10 Jahren die Finanzwelt erschütterte und welcher erstaunliche Paralleler zu dem vorliegenden Fall aufweist.

Ich glaube nicht, dass Reformen von Gesetzen, Behörden oder Kontrollen das Problem wirklich aus der Welt schaffen können. Im Fall von Wirecard wird gesagt, dass die Struktur des Unternehmens sie in die Grauzone der Zuständigkeiten zwischen den verschiedenen Finanzaufsichtsbehörden befördert hat und die somit fehlende Regulierung zu diesem Dilemma beigetragen hat.[18] Betrachtet man jedoch den Werdegang von Wirecard und auch die verschiedenen Verdachtsmeldungen, die seit 2008 vorliegen, so hätte dort weitaus früher etwas passieren können, trotz der Unklarheit darüber, wer nun offiziell dafür zuständig ist, oder man hätte sich zumindest diese Frage stellen müssen.

Trotz der Reformen und immer komplexeren Regelwerken scheinen die kriminellen Täuschungsmanöver solcher Firmen nicht weniger zu werden, daher ziehe ich das Fazit, dass die Lösung nicht nur bei den Aufsichtsbehörden oder internen und externen Kontrollorganen zu finden ist, sondern vielmehr in der Art und Weise, wie wir Wirtschaft gestalten.

Welchen Stellenwert sollte Performance um jeden Preis, bei allem was wir heutzutage wissen, wirklich noch haben und sollte es beim Bewerten der Zugehörigkeit von Firmen zu einer Börsenelite wie dem DAX nicht um mehr gehen als den Aktienkurs und den Handlungsumsatz, sollte dabei nicht auch beachtet werden, auf welche Art und Weise das Unternehmen die Gewinne erzielt und in wie fern es zur positiven Entwicklung und Stabilität des gesamten Marktes beiträgt.

Ich finde, dass solche Schritte eine weitaus stärkere Signalfunktion haben, als 1000 leere… Gesetze.
 

Wir müssen anfangen, über die Zahlen hinwegzusehen und uns zu fragen, ob die Firma, die hochgelobt wird, nachhaltig genug arbeitet im Sinne von Werterhalt auf langer Sicht, und wenn nicht, so muss man solchen Firmen den Nährboden, entziehen, um die Märkte zu schützen.

Da denke ich besonders an Anleger, Investoren und sonstige Marktteilnehmer, die ich in der Pflicht sehe, auch um Ihrer Selbst Willen, Unternehmen, deren Entwicklung zu gut scheint, um wahr zu sein, genau unter die Lupe zu nehmen, um nicht auf eine Eintagsfliege zu setzen und somit die Märkte und das eigene Vermögen zu gefährden.

Denn wenn etwas zu gut scheint, um wahr zu sein, ist das meistens auch so…


[1] https://www.bundesfinanzministerium.de/Content/DE/Video/2020/2020-06-25-statement-lufthansa/2020-06-25-statement-lufthansa.html

[2] https://www.ft.com/content/284fb1ad-ddc0-45df-a075-0709b36868db

[3] https://www.n-tv.de/wirtschaft/der_boersen_tag/Diese-Lehren-lassen-sich-aus-dem-Wirecard-Skandal-ziehen-article21871683.html

[4] https://www.bbc.com/news/business-53198409

[5] Ibidem

[6] https://boerse.ard.de/multimedia/audios-und-videos/boerse-vor-acht/hr_22_06_2020_114.html

[7] Ibidem

[8] Ibidem

[9] #N20-001 Notice of charges (OCC) against Carrie Tolstedt (Former Head of the Community Bank, Wells Fargo), P. 23

[10] Idem P. 23

[11] Sinek Simon, The infinate game, P. 108 ff., 2019

[12] http://www.petewargent.com/2019/11/26/from-toxic-team-to-dream-team/

[13] Ibidem

[14] Ibidem

[15] Ibidem

[16] Ibidem

[17] Ibidem

[18] https://www.nzz.ch/wirtschaft/betrugsskandal-wirecard-warum-deutsche-finanzaufsicht-scheiterte-ld.1562975

Les cyberrisques FINMA & gestionnaires indépendants, quel avenir ?

lundi 22 Juin 2020

Par Felipe Nogeira

Les gérants de fonds indépendants, les tiers gérants et gérants externes en Suisse vont‑ils devoir, dans un avenir proche, se mettre aux normes de la cyber sécurité de la FINMA

Les normes FINMA sur la cybercriminalité sont connues. Les organes qui doivent s’y soumettre sont connus[1], à savoir :

  • Les banques
  • Les groupes et conglomérats financiers
  • Les négociants en valeurs mobilières

Les tiers-gérants et GFI suisses ne sont, en principe pas, encore sous l’obligation de cette ordonnance. On peut toutefois légitimement se poser la question de savoir si, la plupart des circonstances et conditions décrites par la FINMA[2], ne font pas partie du quotidien des GFI, tiers-gérants et gérants externes en Suisse.

En effet, la FINMA qualifie d’« actifs d’importance critique et susceptibles d’être l’objet d’attaque de cybercriminels », entre autres:

a) Les informations sensibles / confidentielles, les données d’identification de clients, les contrats d’assurance, les données liées au règlement des sinistres ou le traitement des prestations, procès-verbaux du CA ou de la direction, informations sur la stratégie, données RH, etc.

b) Les collaborateurs assumant des fonctions d’importance critique ou y contribuant de manière essentielle, tels que la direction, les négociants, les conseillers clients, etc. ainsi que les collaborateurs clés (par ex. ceux ayant des droits accrus, les administrateurs systèmes, le personnel de sécurité, comptabilité, etc.).

c) L’infrastructure technologique nécessaire à une fonction d’importance critique (par ex. hardware, logiciel, infrastructure réseau, etc.).

On peut dès lors se demander si les GFI, tiers gérants et gérants externes suisses ne représentent pas le fameux « maillon faible du secteur », évoqué par M. Branson patron de la FINMA[3]. Ce dernier considère que « …les établissements helvétiques sont bien équipés pour résister aux cybercriminels, mais rappelle que l’efficacité d’un système de défense se mesure à son maillon le plus faible et invite les acteurs de la branche à redoubler d’efforts dans ce domaine ».

Lors d’une conférence de presse à Berne, le 27 mars 2018, ce même Mark Branson annonçait que « les cyberattaques étaient devenues le principal risque opérationnel pour le système financier » et que les risques ne faisaient qu’augmenter en suivant parallèlement le monde de la numérisation ».

Il déclarait aussi que les banques suisses étaient déjà à pied d’œuvre pour y faire face et que celles-ci étaient victime de plus d’une centaine d’attaque journalière par le logiciel malveillant « RETEFE »[4]. Qu’en est-il des GFI et tiers-gérants ? Leurs logiciels de consolidation de comptes de clients, leurs systèmes de passation d’ordre de bourse aux banques dépositaires, leurs systèmes de stockage des « données clients », leurs serveurs sont-ils aussi sûrs et bien défendus que ce qui équipe les 248 banques encore répertoriées en Suisse ? Poser la question, c’est y répondre…  

Depuis le début des années 2010, le lobby de l’industrie bancaire a essayé d’affaiblir les GFI, tiers-gérants et gérants indépendants en pressant la FINMA de sur-réglementer cette profession, considérée comme concurrente à celle des banques.

Fin 2010, les gérants de fortune indépendants («GFI») géraient quelque CHF 375 milliards, soit 13% des avoirs sous gestion en Suisse[5].

La cybercriminalité et la mise en place nécessaire de mesures de protection efficaces pourraient sonner le glas des petits GIF et tiers gérants, déjà considérablement éprouvé par les changements réglementaires LSFIN et LEFIN survenus ces cinq dernières années. La consolidation déjà constatée du marché des GFI cherchant rapidement à mutualiser des coûts administratifs supplémentaires, cette consolidation devrait logiquement encore s’accélérer. Il est évident que les coûts d’adaptation à la prévention de la cybercriminalité devraient être très élevés pour les GFI de petite taille et traditionnels et ne pas permettre la poursuite de l’activité comme jusqu’à présent. Fin 2010, la majeure partie (env. 80%) des quelque 2600 GFI emploient moins de cinq collaborateurs, beaucoup étaient même des entreprises unipersonnelles[6]. Ils seraient aujourd’hui environ 2’500 gérants indépendants, dont 90% sont de toutes petites structures comptant d’une à cinq personnes[7]. Ces chiffres sont difficiles à vérifier et aucune nouvelle enquête et inventaire complet n’a été fait par la branche depuis l’étude publiée par Boston Consulting et l’Association des banquiers suisses…

Le rapport annuel 2018 de la FINMA[8] indique que le surveillant des marchés financiers devait, il y a deux ans, autoriser quelque 2500 GFI durant les trois ans de période transitoire qui suivent la mise en vigueur de LSFIN et LEFIN.

LEFIN impose aux GFI d’adapter leur organisation et de se doter d’un conseil d’administration exerçant la surveillance sur la direction opérationnelle. Toutefois, LEFIN permettra aussi à de «petits» gestionnaires de bénéficier de règles de minimas qui leur permettent de maintenir un seul et même organe, notamment quand leur chiffre d’affaires est inférieur à 2 millions de francs et quand leur « business model » ne présente pas « de risques élevés »…. Là encore, tout est une question d’appréciation….

Les avis sont divergents, mais nous pensons malgré tout que le nombre de GFI et tiers-gérants à considérablement diminué en Suisse depuis 2011. Chantal Mathez écrivait le 14 septembre 2015 dans Bilan : « Depuis deux ans, près de 500 gérants de fortune indépendants ont mis la clé sous la porte en Suisse. Beaucoup sont partis à la retraite. D’autres ont fusionné. Certains ont simplement cessé leur activité, notamment ceux qui détenaient en majorité une clientèle française non déclarée »[9]

Nous nous référions plus haut aux 248 banques encore répertoriées en Suisse en 2018.  Le rapport annuel 2018 de la BNS sur les banques en Suisse paru en juin 2019[10] est très complet et analyse le marché bancaire en Suisse par catégorie de banques. On peut y lire que sur ces 248 banques, seulement 216 ont dégagé un bénéfice collectif de 12,8 milliards et 32 ont subi une perte cumulée de 1,3 milliard. En 2017, sur 253 banques, 229 avaient dégagé un bénéfice de 10,3 milliards et 24 avaient subi une perte de 500 millions. Entre 2017 et 2018, on observe une augmentation du nombre de banques en situation clairement déficitaire, soit 34 au lieu de 24. Elles accusent une perte cumulée de 1,7 milliard, plus de trois fois supérieure à celle de 500 millions subie en 2017.

Pouvons-nous extrapoler les statistiques bancaires pour nous donner une idée de ce qui a eu lieu dans la gestion de fortune indépendante ? Certainement. Inévitablement, la pression sur les marges bénéficiaires s’est fait sentir à tous les étages et va continuer de s’accroître. Un des facteurs qui devrait fortement contribuer à l’augmentation de cette pression sur les GFI est le coût futur et probable, lié à la mise en conformité des GIF aux exigences de la FINMA en termes de cybercriminalité.

Seuls les GFI de plus grande taille, professionnels et spécialisés, pourront profiter de la croissance du marché et gagner des parts de ce marché.

Très concrètement, pour s’équiper de façon convenable et minimum en termes de cybercriminalité aujourd’hui, un GIF devrait y consacrer annuellement une somme au‑delà du demi-million de francs, entre le logiciel de consolidation, l’audit externe du système informatique, l’externalisation des serveurs, la protection du ou des serveurs, leur manutention, la prime d’assurance RC, la prime d’assurance pour la couverture des risques liés à la cybercriminalité, les divers « stress tests » à effectuer… Il est dès lors mathématique de constater que la structure du GIF à l’ancienne dont nous parlions plus avant (90% sont de toutes petites structures comptant d’une à cinq personnes) ne pourra pas faire face…

La marge bénéficiaire des banques en Suisse s’est réduite de 19 points de base en dix ans, à 88 points de base[11]. La marge des GFI a, logiquement, suivi cette tendance, voir peut-être même subi une dégradation et érosion de marge encore plus importante.

Le modèle du GFI et du tiers-gérant « à papa » est mis sous pression. Les effets conjugués de la hausse des réglementations et des frais, de la réduction des marges et de la difficulté à se projeter dans la révolution technologique nécessaire à une prévention efficace de la cybercriminalité annoncent une révolution de business model.

En conclusion, nous dirons que, bien plus que l’indépendance, la survie aura désormais un prix et comportera certains risques. La mise en place de solutions efficaces et modernes de gestion des risques liés à la cybercriminalité nécessitera une mutualisation des coûts et une consolidation rapide et effective du secteur des GFI. Dans l’environnement actuel, quelques gérants de fortune indépendants l’ont compris, d’autres jouent encore la montre. Pourtant, les contrôles et les exigences en termes de prévention de la cybercriminalité à l’égard des GFI et tiers-gérants vont devenir plus rigoureux, inévitablement. Car pour l’heure, à part, encore une fois, pour les plus gros acteurs du secteur (souvent les mieux organisés) il n’existe aucune réelle protection du client, des données du client et des avoirs du client.


[1] Circulaire 2008/21 Risques opérationnels – banques Exigences de fonds propres et exigences qualitatives relatives aux risques opérationnels dans le secteur bancaire, dernière révision 31.10.2019

[2] Annexe 2 de la communication de la FINMA sur la surveillance du 7 mai 2020 en page 7

[3] https://www.allnews.ch/content/r%C3%A9glementation/cyberattaques-risque-n1-pour-les-banques-selon-la-finma

[4] https://www.reuters.com/article/us-swiss-finma/cyber-attacks-biggest-risk-for-swiss-banks-watchdog-idUSKBN1H30TM

[5] Etude conjointe de l’Association suisse des banquiers et du Boston Consulting Group sur la place bancaire suisse, Septembre 2011, page 47

[6] Etude conjointe de l’Association suisse des banquiers et du Boston Consulting Group sur la place bancaire suisse, Septembre 2011, page 47

[7] https://www.allnews.ch/content/interviews/ces-gfi-qui-tirent-leur-r%C3%A9v%C3%A9rence

[8] Rapport annuel FINMA 2018, décembre 2018, page 84

[9] https://www.bilan.ch/finance/quel_avenir_pour_les_tiers_gerants_

[10] https://www.snb.ch/fr/mmr/reference/banks_2018/source/banks_2018.fr.pdf

[11] Le Temps du 5 mai 2020, citant Anna Zarzewski du Boston Consulting Group

Libra et contexte de son programme de conformité

mardi 02 Juin 2020

Par un étudiant du MAS à l’ILCE

Introduction

Dans le contexte de l’essor du marché des monnaies virtuelles et des risques de blanchiment d’argent lié à l’anonymat que procure la technologie blockchain, LIBRA rend sa copie au régulateur afin de concilier convivialité et conformité sur son projet de plateforme de paiement et le lancement de ses monnaies virtuelles (≋LBR).

Arrière-plan

Le 16 avril 2020, l’Association genevoise Libra Association (LIBRA)[1] a publié une deuxième version de son white paper (livre blanc) destiné notamment à convaincre l’autorité fédérale de surveillance des marchés financiers (FINMA) qui en a accusé bonne réception.[2]

En substance, l’association souhaite lancer son nouveau système de paiement basé sur ses stablecoins (≋LBR) et la technologie blockchain.[3]

Stablecoin – Définition

Un stablecoin est une monnaie dont la valeur présente une faible volatilité car basée sur un actif-sous-jacent stable, comme par exemple une monnaie fiduciaire existante. Ainsi, l’utilisation de ce type de devise virtuelle permet également de favoriser et de réduire les frais de conversion dans le cadre de transactions internationales.[4]

A titre comparatif, nous relèverons que le bitcoin (BTC) est une monnaie volatile notamment car il n’est pas contrôlé par une banque centrale qui pourrait en atténuer les fluctuations. On parle aussi de jeton de paiement ou de monnaie virtuelle décentralisée (pas d’administrateur central) et convertible en monnaie fiat (i.e monnaie fiduciaire).[5]

En l’occurrence, LIBRA proposera des stablecoins « mono-devise » (absents de la première version) basés par exemple sur l’USD, l’EUR ou le GBP, ainsi qu’un stablecoin basé sur un panier de devise. En outre, cette nouvelle infrastructure devrait à terme permettre de sécuriser ses avoirs sur des appareils mobiles et de les transférer dans le monde entier.[6]

Afin de répondre notamment aux attentes des régulateurs suite à la première édition de son livre blanc sorti en juin 2019, la nouvelle version met notamment l’accent sur un nouveau compliance framework et semble renoncer à une transition vers un système de paiement « libre d’accès » (permissionless).[7]

Dans le cadre du processus d’autorisation en tant que système de paiement initié auprès de la FINMA, cette dernière devra notamment évaluer dans quelle mesure l’association pourra faire respecter les normes de lutte contre le blanchiment d’argent nationales et internationales.[8]

En effet, LIBRA, en tant que système de paiement devant obtenir une autorisation de la FINMA, serait réputé être un intermédiaire financier au sens de la Loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (LBA). En tant qu’intermédiaire financier, LIBRA serait également soumis aux différentes obligations de gestion des risques de lutte contre le blanchiment dictées notamment par l’OBA-FINMA ainsi qu’à l’obligation/droit de communiquer au bureau de communication en matière de blanchiment d’argent (si applicable).

En vertu de la loi sur l’infrastructure des marchés financiers (LIMF), l’autorisation de la FINMA pour un tel projet est requise pour ce type d’entreprise.[9] Également en vertu de cette loi, la FINMA devrait poser des exigences spéciales pour les services complémentaires présentant des risques accrus.[10]

Les risques

Les nouveaux standards du Groupe d’Action Financière (GAFI) en matière d’actif virtuel ont également dû être pris en compte dans le design du nouveau compliance framework (i.e. programme de conformité) de l’association.[11]

Le GAFI évoque notamment le besoin d’avoir une approche basée sur les risques adaptée à l’écosystème des actifs virtuels. Ce dernier devrait tenir compte des risques spécifiques tels que l’anonymat, les services d’obfuscation de type mixer qui permettent d’opacifier l’origine des fonds, ou encore l’émergence de nouveaux business model du type Initial Coin Offerings (ICOs).[12]

En outre, dans son rapport 2020 sur l’analyse de la criminalité liée aux cryptomonnaie, Chainalysis, société experte dans la sécurité et l’analyse blockchain, décrit notamment la hausse du volume de transactions en cryptomonnaies et l’adoption par le grand public de ces dernières avec des sociétés comme Amazon ou Starbucks qui acceptent désormais le paiement en bitcoin. Au niveau des risques spécifiques, Chainalysis reporte notamment une forte hausse des schémas de fraude de type Ponzi qui ont explosé en 2019. Le marché des ransomware qui exige souvent des paiements en monnaies virtuelles, les groupes de hackers de haut niveau (comme les Advanced Persistent Threat) formé au vol de donné et à l’intrusion, ou encore les produits illicites issus de ventes sur le darkweb sont autant de nouveaux acteurs qui utilisent des services et réseaux sophistiqués afin de blanchir ces capitaux, et ce malgré la traçabilité que peut offrir la technologie blockchain (sur certaines monnaies du moins).[13]

Comme l’explique la FINMA, l’utilisation de la technologie blockchain présente un risque accru de blanchiment à cause notamment de l’anonymat qu’elle peut procurer. En effet, comme elle l’explique dans son rapport annuel 2019, « il n’existe pas encore sur la blockchain de système permettant la transmission d’informations dans le trafic des paiements ».[14] C’est-à-dire, qu’il n’y a pas de système permettant la transmission fiable des données d’identification du donneur d’ordre et du bénéficiaire, comme c’est actuellement le cas avec le système SWIFT pour le trafic des paiements traditionnel. Cela permet par exemple de vérifier qu’un bénéficiaire ne soit pas inscrit sur une liste de sanction. L’art. 10 OBA-FINMA définit en effet clairement cette obligation. Cette communication d’information pourrait toutefois être faite par d’autres canaux que la blockchain. La FINMA précise encore dans sa communication sur le trafic des paiements sur la blockchain : « il faut, pour que de tels systèmes ou accords puissent répondre aux exigences de l’art. 10 OBA- FINMA, qu’ils soient établis entre des prestataires soumis à une surveillance adéquate en matière de blanchiment d’argent ».[15]

Ce dernier point fait notamment partie des directives du GAFI en la matière. Cyphter Trace Inc, une société de sécurité spécialisée dans la blockchain, a introduit en septembre 2019 son Travel Rule Information Sharing Architecture (TRISA) (disponible open source). La société propose un livre blanc afin de guider les fournisseurs de services d’actifs virtuels (Virtual Asset Service Providers ou VASP) dans la mise en place d’une architecture leur permettant d’être en conformité avec les exigences du GAFI et en l’espèce, de la cellule de renseignement financier américaine FinCEN.[16]

VASP et actifs virtuels

Le GAFI définit les VASP dans ses recommandations de juin 2019 comme étant :
« toute personne physique ou morale qui n’est pas couverte ailleurs par les recommandations et qui, en tant qu’entreprise, exerce une ou plusieurs des activités ou opérations suivantes pour une autre personne physique ou morale ou en son nom :
i. échange entre des actifs virtuels et des monnaies fiduciaires (i.e fiat) ;
ii. échange entre une ou plusieurs formes d’actifs virtuels ;
iii. transfert d’actifs virtuels (i.e. d’une adresse ou d’un compte à une/un autre) ;
iv. garde et/ou administration d’actifs ou d’instruments virtuels permettre le contrôle des actifs virtuels ; et
v. la participation à des services financiers liés à l’offre et/ou à la vente d’un actif virtuel par un émetteur et la fourniture de ces services. »

Le GAFI y définit également la notion d’actif virtuel comme étant « une représentation numérique de la valeur qui peut être échangée ou transférée numériquement et qui peut être utilisée à des fins de paiement ou d’investissement. »[17]

Programme de conformité (compliance framework) Libra en bref

Dans son livre blanc, LIBRA décrit comment l’association souhaite augmenter la sécurité de son système de paiement grâce notamment à un compliance framework robuste. Pour ce faire, elle a notamment pris en compte les feedbacks des régulateurs dans le cadre de la mise en place de ses standards de lutte contre le blanchiment d’argent et le financement du terrorisme, la conformité aux sanctions internationales, ainsi que la lutte contre la prévention des activités illicites.[18]

Tandis que l’association Libra sera par exemple responsable de faire appliquer les principes de bonne gouvernance et de mettre en place un Chief Compliance Officer, une fonction de Financial Intelligence Unit (cellule de renseignement financier – CRF ) sera mise en place. Cette CFR aura notamment pour tâche de surveiller l’activité du réseau Libra (i.e. transactions à l’aide d’outils d’analyse de la blockchain), de signaler les activités suspectes (e.g. partager des red flags avec d’autres participants, etc.) et de collaborer avec les autorités gouvernementales. Et de préciser encore : « Lorsqu’une activité potentiellement suspecte et sanctionnée est détectée, la fonction CRF soumettra des rapports appropriés aux autorités compétentes, comme le permet ou l’exige la loi applicable. »[19] Nous comprendrons par-là notamment communication de soupçon de blanchiment d’argent au sens de la LBA.

En outre, le réseau distinguera à terme quatre classes de participants. Cependant, dans un premier temps, la plateforme ne sera accessible qu’à deux types de contreparties qui seront brièvement décrites ci-après : les Designated Dealers et les VASP. En fonction du feedback des régulateurs, la situation pourrait être amenée à évoluer. En substance, les Designated Dealers seraient des institutions financières bien capitalisées qui jouiraient d’une expertise sur les marchés des changes. Le concept de VASP est défini par le GAFI et a été évoqué plus haut. Cette catégorie comprend par exemple également les plateformes d’échange et les custody wallet provider. Ces VASP devraient par exemple être enregistrés/avoir une licence auprès d’une juridiction membre du GAFI, et ces entités devraient également faire l’objet d’une due diligence de la part de LIBRA, afin de s’assurer qu’elles remplissent les exigences posées par le compliance framework de cette dernière, avant de pouvoir opérer sur la plateforme.[20]

Comme le souligne la FINMA dans sa fiche d’information sur les monnaies virtuelles : « proposer des prestations de conservation et des services de paiement en monnaies virtuelles (custody wallet) et exploiter des plates-formes de négociation permettant l’achat et la vente de monnaies virtuelles constituent notamment des activités soumises à la loi sur le blanchiment d’argent. »[21] Nous comprendrons par-là que ces derniers VASP sont également des intermédiaires financiers au sens de la LBA.

Conclusion

Le projet initial a été somme toute adapté aux craintes des régulateurs et les ambitions « libérales » ont été revues à la baisse. À la lecture du livre blanc proposé, il semble que l’association est consciente des attentes réglementaires et dit s’inspirer des bonnes pratiques existantes dans cette industrie. Le projet propose une avancée par étape, ce qui semble prudent. Compte tenu de l’expansion du marché des monnaies virtuelles de manière générale, et des ambitions de LIBRA en termes d’utilisateurs (pour son système de paiement et ses stablecoins), la mise en place concrète des mesures de prévention, la détection et la réponse aux risques de blanchiment sera encore certainement un beau défi pour l’association.


[1] Registre du commerce du canton de Genève –  https://ge.ch/hrcintapp/externalCompanyReport.action?companyOfrcId13=CH-660-2285019-7&ofrcLanguage=2, consulté le 15.04.2020

[2] FINMA – Communiqué de presse – Libra Association: lancement du processus d’autorisation de la FINMA – 16.04.2020 – https://www.finma.ch/fr/news/2020/04/20200416-mm-libra/, consulté le 15.04.2020

[3] Libra Association Members – White Paper v2.0 – avril 2020 – https://libra.org/en-US/white-paper/, consulté le 15.04.2020

[4] Renaud H. – 20.10.2019 – https://journalducoin.com/altcoins/definition-stablecoin/, consulté le 15.04.2020

[5] Lisa Desjardins – 13.07.2018 – https://www.in-compliance.ch/2018/07/13/cryptomonnaies-les-categories-de-risque/ , consulté le 15.04.2020

[6] Libra Association Members – White Paper v2.0 – avril 2020 – https://libra.org/en-US/white-paper/#the-libra-payment-system , consulté le 15.04.2020

[7] https://www.ft.com/content/23a33fcb-1342-4a18-be39-504e8507f752 , consulté le 15.04.2020

[8] FINMA – Communiqué de presse – Libra Association: lancement du processus d’autorisation de la FINMA – 16.04.2020 https://www.finma.ch/fr/news/2020/04/20200416-mm-libra/ , consulté le 15.04.2020

[9] Art. 4 al. 2 de la loi sur l’infrastructure des marchés financiers (LIMF)

[10] FINMA – Communiqué de presse – Libra Association: lancement du processus d’autorisation de la FINMA – 16 avril 2020 – https://www.finma.ch/fr/news/2020/04/20200416-mm-libra/ , consulté le 15.04.2020

[11] Libra Association Members – White Paper v2.0 – avril 2020 –  https://libra.org/en-US/white-paper/ , consulté le 15.04.2020

[12] http://www.fatf-gafi.org/media/fatf/documents/recommendations/RBA-VA-VASPs.pdf, consulté le 15.04.2020

[13] CHAINALYSIS THE 2020 STATE OF CRYPTO CRIME – Everything you need to know about darknet markets, exchange hacks, money laundering and more – January 2020 – https://www.chainalysis.com

[14] FINMA – « Rapport annuel 2019 » – https://www.finma.ch/fr/documentation/publications-finma/rapport-d-activite/ , consulté le 15.04.2020

[15] FINMA « Communication FINMA sur la surveillance 02/2019 – Trafic des paiements sur la blockchain » 26.08.2019 – https://www.finma.ch/fr/news/2019/08/20190826-mm-kryptogwg/ , consulté le 15.04.2020

[16] https://ciphertrace.com/trisa-unveiled/ , consulté le 15.04.2020

[17] GAFI – INTERNATIONAL STANDARDS ON COMBATING MONEY LAUNDERING AND THE FINANCING OF TERRORISM & PROLIFERATION – The FATF Recommendations -juin 2019 – https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%202012.pdf  – Citation traduite de l’anglais avec www.DeepL.com/Translator (version gratuite) , consulté le 15.04.2020

[18] Libra Association Members – White Paper v2.0 – avril 2020 – https://libra.org/en-US/white-paper/#cover-letter , consulté le 15.04.2020

[19] Libra Association Members – White Paper v2.0 – avril 2020 – https://libra.org/en-US/white-paper/#compliance-and-the-prevention-of-illicit-activity , consulté le 15.04.2020 / Citation traduite de l’anglais avec www.DeepL.com/Translator (version gratuite)

[20] Libra Association Members – White Paper v2.0 – avril 2020 – https://libra.org/en-US/white-paper/#compliance-and-the-prevention-of-illicit-activity , consulté le 15.04.2020

[21] FINMA – FICHE D’INFORMATION – Monnaies virtuelles – 01.01.2020 –  https://www.finma.ch/fr/finma-public/fiches-d-information/ , consulté le 15.04.2020

Boiler Room Scam : une forme moderne d’escroquerie aux investissements

jeudi 14 Mai 2020

Par Cynthia Maistre

Ce n’est pas nouveau, l’argent fait tourner le monde. Le désir d’avoir plus, et surtout plus d’argent, pousse l’un et l’autre dans notre société à agir de façon irresponsable. Depuis toujours, les fraudeurs en matière d’investissement ont réussi à dérober l’argent des investisseurs. Nous nous souvenons, par exemple, d’un cas de fraude à l’investissement connu dans le monde entier : l’affaire Madoff aux Etats-Unis. Bernard Madoff, négociant en valeurs mobilières âgé de 70 ans à l’époque, a réussi à détourner environ 50 milliards de dollars de ses clients grâce à un système de « boule de neige » ; une pyramide de Ponzi. Il a promis des rendements élevés et a réussi à persuader d’innombrables personnes d’investir. La place financière suisse n’a pas non plus été épargnée.[i] Madoff a été condamné à 150 ans de prison et se trouve actuellement dans une prison fédérale à Bunter, en Caroline du Nord.[ii]

Aujourd’hui, les criminels utilisent internet à leurs fins et cela a rendu la fraude aux investissements plus moderne. Dès lors, la poursuite de tels actes par les autorités est plus difficile. La cybercriminalité existe sous plusieurs formes et de nouveaux phénomènes apparaissent chaque jour. Même si la prudence est en augmentation chez les usagers d’Internet, beaucoup tombent encore dans les pièges des criminels.

Les arnaqueurs du Boiler Room Scam (littéralement « l’arnaque chaudière ») également appelés « les petits frères de Madoff », ont trouvé un moyen de détourner l’argent des gens.[iii] Leur travail consiste à appeler des gens et à les convaincre d’investir dans de supposés titres lucratifs ou dans des crypto-monnaies.  Ils se trouvent souvent dans un centre d’appel situé en Ukraine, en Espagne ou dans d’autres pays.

Les mauvaises conditions des banques, par exemple les taux d’intérêt négatifs ou les rendements moins élevés, poussent les gens à investir leur argent à bon escient au lieu de le stocker sous leur oreiller. Certains pensent même que ces négociants savent mieux faire le travail que les banques. Tout semble merveilleux, les visions sont illimitées pour l’avenir. Malheureusement, une amère désillusion suit rapidement. Non seulement aucun intérêt n’est perçu sur le compte bancaire, mais, dans le pire des cas, les fraudeurs ont dilapidé la totalité des fonds. Pourquoi ? Et bien car il s’agit tout simplement d’une arnaque.

Le fraudeur promet des rendements énormes à sa victime par des prises de contact continues soit par e-mail, par téléphone, ou même via Anydesk.[iv] Le fraudeur transmet régulièrement des documents prouvant les investissements, ainsi la victime peut suivre l’évolution extraordinaire des titres supposément achetés de ses propres yeux.

Au début, les fraudeurs demandent aux victimes d’investir de petites sommes d’argent en tant que « capital de départ ». Peu de temps après, des appels téléphoniques et des courriels plus insistants suivent et recommandent urgemment d’investir davantage. L’occasion est unique : l’investisseur ne doit pas rater cette « chance ». Les victimes de fraude se font raconter des histoires insensées afin d’établir une relation de confiance entre le « conseiller financier » et le « client ».

Cette forme de fraude, plutôt psychologique, peut être apparentée à ce qui est connu sous le nom d’ingénierie sociale. L’ingénierie sociale est une manipulation relationnelle qui vise à induire certains comportements chez les personnes, par exemple pour révéler des informations confidentielles, acheter un produit ou libérer des ressources financières.[v]

L’argent est transféré sur différents comptes bancaires à l’étranger, les titulaires de ces comptes sont généralement des « money mules »[vi], ce qui signifie que les véritables ayants droit économiques sont difficiles à identifier. Si le client souhaite retirer le capital investi, les « conseillers » sont à ce moment très occupés, donc ne peuvent pas traiter l’affaire en cours et la procédure échoue. Un léger sentiment de méfiance peut surgir pendant ce moment chez le client, mais il a déjà suffisamment investi qu’il ne va pas tout arrêter maintenant.

Malheureusement, il arrive souvent que le client remarque l’escroquerie que lorsqu’il est trop tard. Les pages frauduleuses des plateformes de négociation ne sont soudainement plus disponibles sur internet, le conseiller aurait démissionné ou serait injoignable. Ce type de fraude est généralement perpétré par des bandes organisées au niveau international et opérant depuis l’étranger. Une poursuite pénale peut durer des années et peut même être sans succès, car les traces sur internet sont souvent masquées.[vii]

Selon une publication de la police cantonale bernoise en mai 2019, le nombre de dénonciations reçues est en constante augmentation. A cette date, le montant du dommage financier s’élevait déjà à environ 1,4 million de francs pour 2019.[viii] Les forces de l’ordre essaient de sensibiliser les gens pour les protéger contre ces types de fraudes.

Voilà quelques conseils concernant la prévention des escroqueries au placement :

  1. En Suisse, les prestataires fiables de ces plates-formes doivent s’enregistrer auprès de l’Autorité fédérale des marchés financiers (FINMA).[ix] Vérifiez-le !
  2. Renseignez-vous sur le prestataire de services auprès de votre banque ou sur internet (il existe de nombreuses entrées avertissant de ce type de fraude).
  3. Ne versez pas de sommes à des personnes ou des institutions que vous ne connaissez pas.

[i] https://www.nzz.ch/auch_schweizer_sind_reingefallen-1.1421818?reduced=true

[ii] https://www.handelszeitung.ch/invest/bernie-madoff-mochte-freiheit-sterben

[iii] https://www.faz.net/aktuell/finanzen/fonds-mehr/anlagebetrueger-madoffs-kleine-brueder-1768929.html

[iv] Logiciel d’accès à distance pour accéder aux ordinateurs domestiques ou professionnels https://anydesk.com/de/features

[v] Les attaques d’ingénierie sociale profitent de la serviabilité, de la bonne foi ou de l’insécurité des personnes pour accéder à des données confidentielles ou pour inciter les victimes à entreprendre certaines actions :https://www.melani.admin.ch/melani/de/home/themen/socialengineering.html

[vi] https://www.cybercrimepolice.ch/de/haeufige-phaenomene/finanzagent/?search_highlighter=money+mules

[vii] https://www.handelszeitung.ch/unternehmen/boiler-room-internationale-betruegerbande-zerschlagen-575336

[viii] https://www.police.be.ch/police/fr/index/medien/medien.archiv.meldungNeu.html/police/de/meldungen/police/news/2019/05/20190501_1330_kanton_bern_vorsichtvoranlagebetruegern.html

[ix] https://www.finma.ch/fr/documentation/finma-videos/schutz-vor-anlagebetrug/

Les trusts

mardi 28 Avr 2020

Par Emilie Cudré-Mauroux

Les origines du trust

Le trust, qui se traduit en français par « la confiance », trouve ses origines en Angleterre au 12ème siècle lors des croisades. Les chevaliers anglais qui partaient à la bataille laissaient derrière eux leurs terres pour une durée indéterminée. Il fallait donc trouver un moyen de gérer leurs domaines dans le respect de leurs volontés. Dès lors, les chevaliers qui n’étaient pas sûrs de revenir désignaient des administrateurs de leurs biens. C’est ainsi que cet instrument juridique, qui distingue le propriétaire juridique d’un bien et le bénéficiaire de ce bien, à vu le jour.[i]

Définition

Selon l’art. 2 de la Convention de La Haye du 1er juillet 1985 relative à la loi applicable au trust et à sa reconnaissance (RS 0.221.371), le trust se définit ainsi : « Le trust vise les relations juridiques créées par une personne, le constituant – par acte entre vifs ou à cause de mort – lorsque des biens ont été placés sous le contrôle d’un trustee dans l’intérêt d’un bénéficiaire ou dans un but déterminé ».

Les parties d’un trust

Le constituant du trust est appelé settlor. La personne ou la société qui est choisie pour la gestion des actifs du trust est le trustee. Le trustee contrôle et gère les actifs mais ce sont les bénéficiaires qui ont droit à tous les avantages liés aux actifs et aux bénéfices de tous les biens détenus par le trust. Le settlor peut désigner quiconque pour être le bénéficiaire du trust. Il peut s’agir de lui-même, de son époux(se), de ses enfants, mais aussi de fondations ou d’associations.

Un protecteur peut également être nommé pour vérifier que le trustee utilise de manière adéquate les fonds. Le settlor informe le trustee de ses souhaits en termes de gestion du trust dans un document intitulé « Lettre de souhaits ». [ii]

Types de trust

La Convention de la Haye ne vise que les trusts créés de manière volontaire, soit les express trusts.[iii]

Un trust peut avoir plusieurs fonctions, notamment commerciale, financière, d’utilité publique ou viser un but spécifique et à caractère non caritatif.[iv]

Dans le cadre d’un trust privé créé pour la gestion d’une succession, le settlor peut influencer le sort de ses biens de manière plus durable que lors d’une donation, car il n’y a pas de remise immédiate des biens aux bénéficiaires[v]. Il existe deux grandes distinctions de trust. Les trusts révocables et les trusts irrévocables. Dans le premier cas, le constituant à la possibilité de mettre fin au trust à tout moment et peut dès lors retrouver la propriété de ses biens. Dans le deuxième cas, le transfert des biens est définitif et ne peut être annulé.

Le settlor peut également décider de définir clairement le mode de distribution des actifs du trust, mais il peut aussi laisser le trustee décider du montant à distribuer (trust discrétionnaire). Comme cité plus haut, le settlor peut cependant indiquer une ligne conductrice au trustee par le biais de la lettre de souhaits.

Caractéristiques d’un trust

Les caractéristiques d’un trust sont les suivantes (notamment selon RS 0.221.371) :

  • Le trust n’est ni une personne physique, ni une personne morale. Le trust est une forme juridique à part entière ;
  • Les biens du trust constituent une masse distincte et ne font pas partie du patrimoine du trustee ;
  • Le titre relatif aux biens du trust est établi au nom du trustee ou d’une autre personne pour le compte du trustee ;
  • Le trustee est investi du pouvoir et chargé de l’obligation, dont il doit rendre compte, d’administrer, de gérer ou de disposer des biens selon les termes du trust et les règles particulières imposées au trustee par la loi.

Conséquences d’un trust pour les créanciers

La constitution d’un trust amène à une réorganisation du patrimoine de tous les intervenants qui se répercute sur les créanciers des parties prenantes. En effet, les actifs mis dans le trust ne sont plus accessibles aux créanciers du settlor puisqu’il s’en est dessaisi en faveur du trustee. Comme indiqué plus haut, les avoirs du trust ne font pas non plus partie du patrimoine du trustee. Par conséquent, les créanciers personnels du trustee et du settlor n’ont aucun droit sur les actifs formant le trust. De plus, les créanciers des bénéficiaires ne peuvent saisir directement les biens du trust puisque les bénéficiaires ne possèdent que des prérogatives à la remise d’avantages patrimoniaux.[vi]

Cadre juridique suisse

Jusqu’à la ratification de la Convention de la Haye intervenue le 1er juillet 2007, le terme de trust était totalement inconnu au droit suisse. En adhérant à la Convention, la Suisse a décidé de reconnaître l’existence et les effets juridiques des trusts. Néanmoins, il ne s’agit que d’une reconnaissance du trust, puisqu’il n’existe pas à proprement parler un trust de droit suisse. A l’heure actuelle, si un Suisse souhaite placer ses avoirs dans un trust, il doit se référer à un droit étranger.[vii] Toutefois, cette ratification permet à la place financière suisse de gérer des trusts étrangers depuis le territoire helvétique.

Bien que le droit suisse ne possède pas une législation propre au trust, la Suisse a introduit diverses normes afin de réglementer son statut. Entrée en vigueur le 1er janvier 2020, la loi fédérale du 15 juin 2018 sur les établissements financiers (LEFin, RS 954.1) prévoit notamment que les gestionnaires de fortune ainsi que les trustees mentionnés à l’art. 2, al.1, let. a et b soient soumis à la loi fédérale concernant la lutte contre le blanchiment d’argent et le financement du terrorisme (LBA, RS 955.0)

  • « Le trustee qui gère des trusts en Suisse ou depuis la Suisse est soumis à la LBA, quel que soit le lieu où se situent les biens du trust et l’ordre juridique dans lequel le trust a été constitué ;
  • Le protecteur est qualifié d’intermédiaire financier et donc soumis à la LBA s’il peut prendre des décisions en matière financière en lieu et place du trustee ou conjointement avec ce dernier. En revanche, si ses prérogatives se limitent à changer ou à surveiller le trustee ou encore à disposer d’un droit de veto lui permettant uniquement de s’opposer à des décisions de placement et d’allocation prises par le trustee, alors le protecteur n’est pas un intermédiaire financier au sens de la LBA ».[viii]

A noter encore qu’en mars 2019, le Conseil national a approuvé une motion afin d’introduire le trust dans le droit helvétique. Le Conseil fédéral est donc chargé de créer les bases légales permettant d’introduire un trust suisse.[ix]


[i] Neue Zürcher Zeitung (NZZ). Michael Ferber, 01.03.2019. « Braucht es einen Schweizer Trust ? ».Disponible à l’adresse : https://www.nzz.ch/finanzen/trusts-ld.1458203

[ii] FOSS Family Office Advisory. Disponible à l’adresse : https://www.family-office-advisory.com/fr/family-office-services/structures/trusts.html#close

[iii] Philippe Kenel. « Le trust : quelle utilité en droit suisse ? » Disponible à l’adresse : https://www.philippekenel.ch/fr/publications/articles/Le-trust–quelle-utilite-en-droit-suisse–1-53-17

[iv] Support de cours, G. Wuest – ILCE, 04.10.2019. Cours « Structures offshore et Trust ».

[v] Ibidem

[vi] Aude Peyrot, 2011. « Le trust de common law et l’exécution forcée en Suisse ». Université de Genève. Disponible à l’adresse : https://archive-ouverte.unige.ch/unige:17339

[vii] Parlement.ch, 13.03.2019 « Le trust devrait apparaître dans le droit suisse ». Disponible à l’adresse : https://www.parlament.ch/fr/services/news/Pages/2019/20190313125527885194158159041_bsf084.aspx

[viii] Confédération Suisse. Administration fédérale des finances AFF, 29.10.2008. « Pratique de l’Autorité de contrôle en matière de lutte contre le blanchiment d’argent relative à l’art. 2, al. 3, LBA ». Pages 17-18. Disponible à l’adresse : http://www.polyreg.ch/f/informationen/unterstellungskommentar.pdf  

[ix] Parlement.ch, 13.03.2019 « Motion CAJ-CE. Introduction du trust dans l’ordre juridique suisse ». Disponible à l’adresse : https://www.parlament.ch/fr/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=45567#votum11

Les néobanques et le blanchiment d’argent provenant de cyber-escroqueries

mercredi 22 Avr 2020

Par un étudiant du MAS à l’ILCE, inspecteur de police dans une division luttant contre la cybercriminalité

Une néobanque, qu’est-ce que c’est ?

Une néobanque, couramment également appelée banque mobile ou digitale, est une entreprise fournissant des services financiers uniquement via une application mobile, et ne disposant de ce fait d’aucun bureau physique pouvant accueillir des clients. Offrant divers avantages tels que des taux de conversion en devise étrangère très bas (taux interbancaire), les néobanques sont prisées des voyageurs. Elles connaissent aujourd’hui une évolution fulgurante, avec notamment en tête les deux gros mastodontes européens que sont Revolut et N26.  Au cours du premier trimestre 2018, les ouvertures de compte bancaire auprès de néobanques en France représentaient même 34% de toutes les ouvertures de compte, soit plus d’un tiers.[1] En Suisse, la néobanque anglaise Revolut posséderait 250’000 clients fin 2019, avec pas moins de 180’000 nouvelles relations bancaires durant cette année -là.[2]

Fonctionnement et réglementation

En Suisse, nous relevons deux néobanques :

  • Zak, appartenant à la Banque Cler (ancienne Banque Coop). Il s’agit d’une application mobile créée par la Banque Cler, laquelle propose une ouverture de compte et une gestion de son compte à 100% via une application mobile.
  • Neon, une fintech zurichoise appuyée par la Hypothekarbank Lenzburg (HBL). Neon utilise l’Open API (Application Programming Interface) de la HBL afin d’avoir accès à un système bancaire. La conséquence est que lorsque l’on veut ouvrir un compte grâce à Neon, nous devenons aussitôt clients de la HBL. [3]

Ces néobanques sont donc soutenues par des banques traditionnelles et sont soumises aux mêmes lois. Elles sont notamment soumises à la Loi sur les Banques (LB), assujetties à la surveillance de la FINMA et tenues à respecter les obligations de diligences bancaires de l’ASB.

Intéressons-nous plus particulièrement à l’ouverture des comptes. En effet, s’agissant de services financiers présents uniquement sur une application mobile, l’ouverture du compte doit s’effectuer à distance. En Suisse, la convention de diligence des banques (CDB20) oblige la banque à « vérifier l’identité du cocontractant lors de l’établissement d’affaires ». L’article 10 CDB20 précise quant à lui que « L’identification en ligne conformément aux prescriptions en vigueur de la FINMA vaut vérification de l’identité lorsque la relation d’affaires est établie par correspondance. ». [4]

Les prescriptions de la FINMA sont établies dans la circulaire 2016/7, qui traite des « obligations de diligence lors de l’établissement de relations d’affaires par le biais de canaux numériques ».  Cette dernière donne des directives claires aux banques concernant l’identification par vidéo. En résumé, elles doivent notamment respecter les critères suivants :

  • Communication audiovisuelle en temps réel
  • La qualité de l’image et du son doit être appropriée pour permettre une identification parfaite.
  • Le cocontractant est identifié par des collaborateurs de l’intermédiaire financier ayant suivi une formation correspondante.
  • L’intermédiaire financier contrôle l’authenticité des documents d’identification, d’une part au moyen de la lecture et du déchiffrage des informations contenues dans la MRZ et, d’autre part, à l’aide d’un élément de sécurité optique variable du document d’identification et d’un autre élément choisi de manière aléatoire.
  • En amont de l’entretien audiovisuel, le cocontractant doit pouvoir saisir les données selon les art. 44 et 60 OBA-FINMA et les transmettre à l’intermédiaire financier. Celui-ci les vérifie pendant l’entretien d’identification en utilisant des supports techniques appropriés ou en posant des questions ciblées.
  • Pendant la transmission vidéo, l’intermédiaire financier prend des photographies du cocontractant ainsi que de toutes les pages importantes du document d’identification et vérifie que les photographies du cocontractant concordent avec celle du document d’identification.[5]

La circulaire 2016/7 différencie l’identification par vidéo de l’identification en ligne. Cette dernière demande des mesures de contrôle supplémentaires, comme un virement d’argent en provenance d’un compte bancaire libellé au nom du cocontractant et une vérification de l’adresse de domicile du cocontractant. Cette méthode n’est aujourd’hui pas utilisée par les néobanques suisses.

Concernant la législation européenne, celle-ci se montre plus souple. En effet, pour ouvrir un compte bancaire auprès de grandes néobanques comme Revolut ou N26, de simples photos du visage ainsi que d’une pièce d’identité suffisent.[6],[7] Ces méthodes de vérification moins strictes ont par ailleurs déjà alerté des régulateurs, comme le Bafin en Allemagne. En effet, il était reproché à N26, au mois de mai 2019, de ne pas prendre toutes les mesures nécessaires afin de s’assurer que ses comptes sont en règle par rapport au blanchiment d’argent et au financement du terrorisme.[8]

Le blanchiment d’argent 2.0

L’émergence des néobanques a offert de nouvelles perspectives en termes de blanchiment d’argent, notamment pour les escroqueries commises sur Internet. Comme vu précédemment, il n’est pas impossible d’ouvrir un compte auprès de néobanques européennes sous une fausse identité. Il n’est donc pas rare que des comptes soient ouverts avec des documents d’identité et des « selfies » dérobés à des victimes d’escroqueries sentimentales par exemple. L’existence des money-mules, dont la Prévention suisse de la criminalité a largement communiqué à ce sujet en 2019[9], est également facilitée par les néobanques. En effet, les money-mules n’ont plus besoin de mettre leur propre compte à contribution des escrocs, mais peuvent simplement en créer un facilement depuis chez elles. Elles peuvent dès lors soit effectuer les transactions frauduleuses elles-mêmes, transférer l’usage de l’application aux escrocs, ou encore leur transmettre la carte bancaire reliée au compte afin que les escrocs l’utilisent directement.

Différents facteurs facilitent le blanchiment d’argent via les néobanques :

  • Facilité et rapidité à ouvrir un compte
  • Transfert d’argent instantané
  • Compte bancaire souvent gratuit, aucuns frais à avancer
  • Peu de suivi lors de transactions internationales car personnel restreint[10]

L’usage des néobanques est donc prisé des cyber-escrocs, qui utilisent une fois de plus les nouveaux services offerts grâce à Internet pour servir leurs propres intérêts. Il fait nul doute que des mesures doivent être prises afin de limiter le blanchiment d’argent via ces nouvelles banques en ligne.

Mesure d’amélioration

Tout d’abord, des mesures pourraient être prises lors de l’ouverture du compte même. En effet, il faudrait s’assurer que le compte soit bien ouvert par le client lui-même, et pour son usage. La législation suisse, en forçant l’entretien vidéo, est déjà un bon exemple dont pourraient s’inspirer différents autres pays européens. Des questions plus ciblées sur l’usage du compte pourraient aussi être posées, afin de garantir un cadre et de bloquer le compte s’il en venait à en sortir.

Une fois le compte ouvert, des mesures techniques peuvent être prises. En effet, profitant de l’utilisation de ces comptes bancaires via une application mobile, la banque est en mesure d’obtenir l’adresse IP du client, leur géolocalisation et d’autres éléments techniques comme l’user-agent.  Les algorithmes de sécurité pourraient être dès lors être améliorés, en bloquant le compte lorsqu’une connexion, un retrait par carte bancaire au distributeur, ou tout autre usage dans un pays ou l’utilisateur n’a pas raison d’y être seraient effectués. En effet, il a déjà été constaté des logs de connexion en Côte d’Ivoire ou au Bénin par exemple, alors qu’il s’agit de comptes bancaires ouverts au nom d’Européens. Une vérification devrait automatiquement être faite dans ces cas-là pour éviter le blanchiment d’argent venant de cyber-escroqueries.

Différentes autres mesures techniques pourraient également être prises, comme forcer la double authentification. En effet, un test mené personnellement le 14 mars 2020 démontre qu’il est possible, avec une néobanque suisse, de se connecter simultanément sur le même compte bancaire avec deux smartphones différents, avec simplement une adresse email et un mot de passe comme login. Il est surprenant qu’en 2020, pour une banque suisse, que de tels manquements de sécurité soient encore possibles.

Photo prise le 14.03.2020 lors de l’accès à mon propre compte bancaire sur deux smartphones différents, équipés de cartes SIM différentes.

[1] KPMG, « Panorama des néobanques en France, Point sur l’essor de ces nouveaux acteurs bancaires », novembre 2018

[2] Heim, M., « Revolut hat plötzlich massiv mehr Kunden in der Schweiz», in Handelszeitung, 14.10.2019

[3] Charles Foucault-Dumas, https://www.ictjournal.ch/news/2018-05-24/neon-et-la-hypothekarbank-lenzburg-lancent-une-banque-100-mobile, consulté le 29.03.2020

[4] Convention relative à l’obligation de diligence des banques (CDB 20) du 13 juin 2018, récupérée de https://www.swissbanking.org/fr/services/bibliotheque/directives, le 01.03.2020.

[5] Circ.-FINMA 16/7 « Identification par vidéo et en ligne » du 3 mars 2016, récupéré de https://www.finma.ch/fr/documentation/circulaires/ le 01.03.2020

[6] https://support.n26.com/fr-fr/vos-debuts/compte/quels-sont-les-documents-demandes-pour-la-verification-de-mon-identite consulté le 01.03.2020

[7] https://www.revolut.com/fr-FR/help/commencer/verification-de-l-identite/comment-puis-je-confirmer-mon-identite

[8] https://www.latribune.fr/entreprises-finance/banques-finance/la-neobanque-n26-dans-le-collimateur-du-regulateur-allemand-818049.html, consulté le 01.03.3030

[9] https://www.skppsc.ch/fr/sujets/internet/money-mules/, consulté le 14.03.2020

[10]  Christelle Bernhard, https://www.moneyvox.fr/banque-en-ligne/actualites/72937/essor-des-neobanques-une-porte-ouverte-au-blanchiment-argent, consulté le 14.03.2020

Les smart contracts, les contrats de demain ?

vendredi 20 Mar 2020

Par Sophie Bonaguro

Définition

Le smart contract (ou « contrat intelligent ») est un concept créé en 1993 par Nick Szabo un informaticien américain. (iii)

Il s’agit en fait de programmes informatiques autonomes, codés sur la blockchain et qui vont exécuter des tâches prédéfinies.

Malgré ce terme de « contrat intelligent », ce n’est pas un contrat au sens juridique du terme et il n’est pas intelligent :

C’est en effet un code informatique qui va servir à conclure et créer des contrats. Et son exécution se fera grâce aux règles préprogrammées par celui qui l’a créé.

La partie « intelligente » du contrat fait plutôt référence à sa capacité d’interagir de manière autonome avec d’autres applications. (ii)

Les smart contracts permettent, en théorie, à deux partenaires de nouer une relation commerciale sans qu’ils aient besoin de se faire confiance au préalable, sans autorité ou intervention centrale : c’est le système lui-même, et non ses agents, qui garantit l’honnêteté de la transaction. (i)

Comment ça marche ?

Ils reposent donc sur un codage informatique : ce sont des programmes qui encodent de manière formelle certaines conditions et résultats ; ce code doit recevoir l’accord préalable des parties contractantes. Les étapes sont les suivantes :

  • Traduction des termes du contrat en code informatique : dans la mesure où les systèmes numériques sont déterministes, toutes les issues possibles liées au contrat, dont notamment la rupture et la décision de soumettre les litiges à un arbitre, doivent être spécifiées explicitement.
  • Accord des parties sur le code qui sera utilisé.
  • Exécution du code de manière fidèle.  (i)

Applications

Les applications peuvent être multiples et variées :

  • Le leasing d’un véhicule (en cas d’interruption du paiement et après plusieurs avertissements, le programme gérant votre smart contract vous enlève le contrôle de la voiture) (iii) ;
  • Le domaine des assurances (versement de dommages-intérêts à certaines conditions) ;
  • La gestion numérique des droits d’auteur (paiement immédiat de ses droits à l’auteur en cas de téléchargement de musique). (ii)
  • Ventes aux enchères.
  • Services financiers. (iii)

Une blockchain spécialement dédiée aux smart contracts a été lancée en 2015 : Ethereum, présenté comme le « premier véritable ordinateur global ». Ethereum fonctionne avec l’ether, une monnaie virtuelle qui sert à payer l’exécution des smart contracts. (i)

Les avantages du recours à un smart contract

  • Aucune possibilité d’influencer le contrat.
  • Haute transparence, fiabilité et sécurité.
  • Traitement rapide et économique des transactions.
  • Contenu parfaitement clair du contrat.
  • Prévisibilité du règlement.
  • Coûts des transactions faibles.
  • Déroulement via une infrastructure globale. (iv)

Les limites du recours au smart contract

  • Nécessité d’une base de données numériques et accès fortement restreint en dehors de la blockchain.
  • Aucune possibilité d’influencer le contrat une fois codé.
  • Il est soumis à une logique de transaction binaire et les problèmes de la vie courante sont généralement plus complexes.
  • Pas de mécanisme prévu pour le règlement des litiges.
  • Droit impératif. (iv)
  • Enfin un risque de fraude peut exister : Le piratage en 2016 contre l’application TheDAO (The Decentralized Autonomous Organisation) sur Ethereum pour un montant estimé à 50 millions d’USD à l’époque est un exemple parlant. Le hacker a utilisé une vulnérabilité dans une fonction du contrat pour détourner un tiers de la somme collectée en ethers. (ii)

Conclusion

Il reste, comme on le voit, encore de nombreux défis à relever notamment au niveau du droit avant que le recours aux smart contracts se généralise.

L’utilisation la plus courante d’un smart contract est à l’heure actuelle le cas du smart contract précédé d’un contrat. Il est alors utilisé comme un outil d’exécution avec comme avantages sa fiabilité, son caractère automatisé, son efficacité et son absence d’intermédiaire. De plus le recours aux smart contracts comme outil dans le but de simplifier et automatiser l’exécution des contrats parait être une stratégie adaptée à des contrats aux caractéristiques spécifiques et notamment contenant des obligations simples.  (ii)

Dans tous les cas, il sera primordial avant de recourir à un smart contract d’analyser la situation juridique ainsi que le contexte et de bien considérer les avantages et les limites actuels afin de profiter pleinement de ce bel outil technologique.

Bibliographie

(i) Geiben Didier, Jean-Marie Olivier, Verbiest Thibault et Vilotte Jean-François, Bitcoin et Blockchain. Vers un nouveau paradigme de la confiance numérique ? RB Edition, 2016.

(ii) Caron Blaise, Müller Christoph, Hug Dario, 3ème journée des droits de la consommation et de la distribution : Blockchain et Smart Contracts – Défis juridiques, Université de Neuchâtel, Helbing Lichtenhahn, 2018.

(iii) Bussac Enée Bitcoin, Ether &, Cie – Guide pratique pour comprendre, anticiper et investir 2019, Dunod, 2018.

(iv) Glarner Andreas Introduction aux contrats intelligents (smart contracts) Journée de formation continue FSA Stade de Suisse à Berne, 31 août 2018. Disponible à l’adresse : https://www.sav-fsa.ch

Le cheval de Troie : un intrus malveillant qui cache bien son jeu

mardi 17 Mar 2020

Par Dounia Grolimund

Un phénomène inéluctable ?

Selon une étude de l’Association of Internet Security Professionals publiée en 2014, un constat, pour le moins inquiétant, a mis en évidence une triste réalité pour les utilisateurs quotidiens de tout système informatique. L’entité en question, chargée d’apporter des pistes d’améliorations et de réponses en matière de cybersécurité pour les entités des secteurs publics et privés, a dévoilé qu’un ordinateur sur trois était infecté par un logiciel malveillant et que près du trois quarts de ces infections, soit 73 %, découlaient d’un cheval de Troie (Trojan horse en anglais)[1].

En d’autres termes, ce pourcentage alarmant signifie que n’importe quel utilisateur lambda est susceptible d’être confronté, au moins une fois dans sa sphère privée ou professionnelle, à un cheval de Troie ou tout autre logiciel malveillant pouvant engendrer de sinistres ravages sur son ordinateur.

Considérés comme les couteaux suisses du piratage selon les intentions criminelles de leurs programmeurs[2], les dégâts provoqués par les chevaux de Troie ne sont pas à prendre à la légère étant donné leur utilité à diverses fins malhonnêtes.

D’où l’importance de sensibiliser le public à ce malware de prédilection pour de nombreux cybercriminels[3] et d’adopter, au quotidien, les bons réflexes pour se protéger et détecter à temps la présence d’un cheval de Troie sur votre système informatique.

Qu’est-ce qu’un cheval de Troie ?

Au préalable, avant d’entrer dans les détails, il paraît nécessaire de définir en quelques mots ce logiciel malintentionné bien connu dans le monde informatique[4].

Un cheval de Troie est un programme malveillant caché dans un logiciel d’apparence légitime et anodine qui s’infiltre dans votre système informatique et agit à votre insu. Pour faire simple, il s’agit d’un logiciel caché dans un autre qui permet à un pirate informatique d’avoir accès à votre ordinateur en ouvrant une porte dérobée (backdoor en anglais)[5].

Bien que, dans la conscience collective, les chevaux de Troie sont souvent assimilés comme étant des virus ou des vers, ceux-ci n’entrent pas dans l’une des catégories précitées. Un virus est un infecteur de fichiers qui peut facilement se dupliquer une fois qu’il a été exécuté au moyen d’un réseau Internet. Quant au ver, il s’agit d’un type de malware semblable au virus mais, toutefois, ce dernier n’a pas besoin de se propager dans un système informatique en se greffant à un programme particulier[6].

Contrairement au virus informatique, le cheval de Troie n’a pas la capacité de se répliquer et d’infecter des fichiers par lui-même. Il vise à infiltrer le dispositif informatique d’un utilisateur vulnérable par le biais de différents moyens[7].

Dans le jargon informatique, le cheval de Troie est un terme générique utilisé pour désigner la distribution de malwares car il n’existe pas un seul et unique type de cheval de Troie[8]. Employé comme porte dérobée pour introduire d’autres programmes malveillants dans un système informatique[9], le cheval de Troie peut agir comme un malware autonome ou un outil utilisé à d’autres fins dont notamment l’exploitation de vulnérabilités[10].

La particularité des chevaux de Troie réside dans le fait que ceux-ci passent inaperçus en raison de leur apparence inoffensive. En effet, ils peuvent simplement s’installer dans votre ordinateur, créer des failles dans votre système de sécurité, recueillir des informations sur vous, prendre le contrôle de votre PC en vous empêchant d’y avoir accès ou encore vous espionner et voler vos mots de passe[11].

Autrement dit, les cybercriminels n’hésitent pas à recourir aux chevaux de Troie pour diffuser différentes menaces allant des rançongiciels (ransomware en anglais) qui exigent une rançon pour déchiffrer les données prises en otage sur un ordinateur aux logiciels espions (spywares en anglais) qui collectent les données personnelles et financières des utilisateurs à leur insu[12].

Origine du terme et bref historique

Le nom « cheval de Troie » est inspiré de l’Iliade, une célèbre légende de la Grèce antique faisant référence à la conquête de la ville de Troie par les Grecs. Pour pénétrer à l’intérieur de la cité connue pour être protégée par d’imposantes fortifications, les conquérants grecs ont eu l’idée de construire un immense cheval en bois dans le but d’y cacher un groupe de soldats[13].

En découvrant cet étalon de bois géant devant les portes de leur ville, les Troyens, ignorant le stratagème des Grecs et étant convaincus qu’il s’agissait d’une offrande, ont fait entrer ce « cadeau » dans leur cité. Une fois la nuit tombée, les soldats grecs, sortis de leur cachette, ont détruit la totalité de la ville de Troie et massacré ses habitants[14].

La technique du cheval en bois employée par les Grecs pour passer à travers les fortifications de la cité troyenne présente donc de nombreuses similitudes avec ce logiciel malveillant utilisant en quelque sorte un « déguisement » pour cacher ses véritables intentions[15].

C’est en 1970 que Daniel J. Edwards, un chercheur à la National Security Agency (NSA) invente le terme « cheval de Troie » pour désigner ce malware[16]. Il faudra, ensuite, attendre l’année 1974 pour voir ce mot apparaître pour la première fois dans un rapport de l’US Air Force ayant pour thème l’analyse des vulnérabilités dans les systèmes informatiques[17].

Concrètement, à quoi ressemble un cheval de Troie ?

Au premier coup d’œil, il n’est pas toujours aisé d’identifier un cheval de Troie car celui-ci peut ressembler à n’importe quel programme à l’apparence saine.  Il peut s’agir d’un logiciel, d’un jeu informatique gratuit téléchargé sur un site web non sécurisé ou encore d’une simple publicité essayant d’installer une fonctionnalité malveillante sur votre ordinateur[18].

Pour vous inciter à exécuter un cheval de Troie dans votre système, les pirates informatiques, font preuve d’imagination et ont recours à diverses techniques d’ingénierie sociale[19] en utilisant notamment un langage trompeur pour essayer de vous convaincre de leur légitimité, raison pour laquelle il est fortement déconseillé de télécharger des logiciels sur des plateformes peu sûres[20].

Les types de chevaux de Troie

Les chevaux de Troie ont la spécificité d’être particulièrement polyvalents. C’est pourquoi, il est difficile de donner une description précise de chaque type même si la grande majorité d’entre eux sont généralement conçus pour prendre le contrôle d’un système à l’insu de son utilisateur. Parmi les menaces les plus courantes liées aux chevaux de Troie, on peut citer[21] :

  • La création de porte dérobée permettant un accès à distance dans un ordinateur.
  • L’espionnage par le biais de logiciels espions qui attendent que l’utilisateur se connecte à ses comptes en ligne pour saisir les données de sa carte bancaire (ex : mot de passe).
  • La transformation d’un ordinateur en zombie (botnet en anglais) lorsque le cybercriminel prend son contrôle pour le rendre esclave d’un réseau.
  • Les malwares qui installent d’autres programmes malveillants comme des rançongiciels ou des enregistreurs de frappe du clavier.

Quelles sont les origines fréquentes des chevaux de Troie ?

De nombreuses activités imprudentes peuvent être à l’origine d’une infection par un cheval de Troie. La liste ci-dessous donne un bref aperçu des méthodes d’infection les plus connues[22] :

  • Connexion d’un ordinateur à un périphérique externe infecté.
  • Ouverture de pièces jointes infectées telles que des factures ou des reçus provenant d’un e-mail louche où le simple fait de cliquer dessus lance un cheval de Troie.
  • Visite de sites web peu fiables qui prétendent diffuser des films connus en direct.
  • Téléchargement de programmes trafiqués, de jeux non payants et d’applications gratuites sur des sites web non officiels.

Les applications peuvent-elles être aussi infectées par des chevaux de Troie ?

Malheureusement oui, les chevaux de Troie peuvent aussi infecter des applications d’appareils mobiles. Le processus reste le même que pour les ordinateurs. Lorsqu’un utilisateur souhaite télécharger une application, le cheval de Troie se fait passer pour un programme inoffensif alors qu’il s’agit d’une contrefaçon remplie de malwares destinée à infecter son téléphone[23].

De tels chevaux de Troie sont habituellement cachés dans des boutiques d’applications pirates. Indépendamment des informations volées sur votre téléphone, ces applications malicieuses peuvent aussi générer des profits en vous envoyant des SMS payants[24].

Quant aux smartphones, ceux-ci ne sont, eux non plus, pas égaux face aux chevaux de Troie. Alors que les utilisateurs d’Android peuvent être victimes d’applications infectées en allant simplement sur Google Play, les adeptes d’IPhone seraient moins vulnérables à ces intrusions en raison des politiques restrictives d’Apple pour autant que les usagers installent bien des applications provenant de l’App Store. Évidemment, le risque zéro n’existe pas si d’autres programmes sont téléchargés en dehors des paramètres d’Apple[25].

Comment se protéger ?

Pour éviter les chevaux de Troie, vous devez rester vigilants en adoptant certaines bonnes pratiques. Indépendamment du pare-feu et de l’acquisition d’un bon antivirus, les règles de sécurité suivantes sont vivement conseillées[26] :

  • Afficher les paramètres par défaut de votre ordinateur de manière à toujours afficher les extensions des applications.
  • Utiliser des mots de passe robustes difficiles à casser.
  • Procéder régulièrement à des analyses de diagnostic.
  • Éviter d’ouvrir des pièces jointes issues d’e-mails suspects ou inhabituels.
  • Se méfier des sites web douteux.
  • Veiller à maintenir les logiciels de votre système d’exploitation et vos applications à jour de façon à ce que les dernières mises à jour de sécurité soient installées pour prévenir toute vulnérabilité.

Ainsi, au cas où votre ordinateur présenterait les symptômes ci-dessous[27]

  • Activité inhabituelle de votre disque, de votre carte réseau ou de votre modem.
  • Arrêt de manière répétée.
  • Ouverture de programmes indépendamment de votre volonté.
  • Réactions anormales de votre souris.

… n’hésitez pas à vous renseigner auprès d’un spécialiste car votre ordinateur a de grandes chances d’être infecté par un logiciel malveillant tel qu’un cheval de Troie. Si vous ne réagissez pas suffisamment à temps, le cybercriminel derrière son écran risque fort de vous jouer de mauvais tours et de mettre vos nerfs à rude épreuve…


[1] Association of Internet Security Professionals. AISP Working Paper, Autumn 2014. Illegal Streaming and Cyber Security Risks : a  dangerous status quo ? [en ligne]. Publié en 2014, p. 1-31. [Consulté le 23 février 2020]. Disponible à l’adresse : http://www.documentcloud.org/documents/1304012-illegal-streaming-and-cyber-security-risks-aisp.htm

[2] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 23 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[3] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 23 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[4] JOURNAL DU NET. La Rédaction JDN. Cheval de Troie (Trojan) en informatique : définition simple. Site Journal du net [en ligne]. Mis à jour le 9 janvier 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1203489-cheval-de-troie-trojan-definition-traduction-et-acteurs/

[5] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 24 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[6] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[7] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[8] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[9] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[10] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[11] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 25 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[12] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 25 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[13] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[14] Par un-e employé-e de Symantec. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 26 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[15] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[16] LIBRAIRIES DIGITAL CONSERVANCY. Oral history interview with Daniel J. Edwards. Charles Babbage Institute. Site Librairies Digital Conservacy. [en ligne]. Mis à jour en 2014. [Consulté le 26 février 2020]. Disponible à l’adresse : https://conservancy.umn.edu/handle/11299/162379

[17] ENJOY SAFER TECHOLOGY. Cheval de Troie. Site Enjoy Safer Technology. [en ligne]. Mis à jour en 2020. [Consulté le 26 février 2020]. Disponible à l’adresse : https://www.eset.com/cheval-de-troie/

[18] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[19] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

[20] REGAN, Joseph. AVG. Qu’est-ce qu’un cheval de Troie ? Est-ce un malware ou un virus ? Site AVG [en ligne]. Publié le 10 décembre 2019. [Consulté le 27 février 2020]. Disponible à l’adresse : https://www.avg.com/fr/signal/what-is-a-trojan

[21] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[22] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 28 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[23] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[24] Par un-e employé-e de NortonLifeLock. NORTON. Malware : qu’est-ce qu’un cheval de Troie ? Malware 101 : what is a Trojan horse ? Site Norton. [en ligne].  Mis à jour en 2019. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.norton.com/internetsecurity-malware-what-is-a-trojan.html

[25] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 29 février 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[26] MALWAREBYTES. Trojan. Tout savoir sur les chevaux de Troie. Site de Malwarebytes. [en ligne]. Mis à jour en 2020. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://fr.malwarebytes.com/trojan/

[27] PANDA SECURITY. Qu’est-ce qu’un cheval de Troie en informatique ? Site Panda Security. [en ligne]. Publié le 18 juillet 2019. [Consulté le 1er mars 2020]. Disponible à l’adresse : https://www.pandasecurity.com/france/mediacenter/malware/quest-quun-cheval-troie-informatique/

Image : https://www.amnesty.ch/fr/contacts/media/opinions/docs/2016/questions-autour-des-chevaux-de-troie

Le Coronavirus profite aux fraudeurs !

vendredi 06 Mar 2020

Par Renaud Zbinden et Olivier Beaudet-Labrecque

La propagation du Coronavirus sur le globe et son traitement médiatique génèrent un sentiment d’insécurité grandissant dans la population. Devant les mesures extraordinaires promulguées par certains gouvernements et le caractère exceptionnel de la situation, les citoyens peuvent devenir plus crédules qu’à l’habitude. Ce climat est particulièrement propice à la commission de fraudes et les escrocs le savent bien. Voici quelques exemples autour du globe :

  • En France et en Italie, des malfaiteurs déguisés en décontamineur se présentent aux portes de personnes à risque et leur annoncent être envoyés pour décontaminer les habitations de la région. Ils demandent ensuite aux résidents d’évacuer leur propre logement pendant une ou deux heures et profitent de leur absence pour dérober leurs biens de valeur.
  • La société américaine Amazon a retiré de son site plus d’un million de produits frauduleux liés au virus (masques, solutions désinfectantes, médicaments, etc.). Ces produits étaient faux ou dangereux.
  • L’Organisation mondiale de la santé (OMS) met en garde contre des courriels frauduleux invoquant une urgence liée au virus. La victime est invitée à ouvrir une pièce jointe altérée, à cliquer sur un lien qui s’avère corrompu ou encore à donner des informations personnelles.
  • Au Royaume-Uni, plus de 800’000 livres sterling ont été perdues à cause d’escroqueries liées à la vente fictive de masques. Les victimes ont acheté des masques en ligne pour des prix excessifs, mais la marchandise n’est jamais arrivée.
  • Des courriels de fausses levées de fonds sont envoyés au nom d’organisations mondiales ou nationales (OMS, ou CDC aux Etats-Unis par exemple) en vue d’amasser de l’argent pour combattre le virus.
  • Certains fraudeurs profitent du Coronavirus pour mettre sur pieds des techniques d’ingénierie sociale et obtenir des informations sur leurs cibles. Il peut s’agir d’appels téléphoniques non sollicités pour vendre des masques faciaux, ou encore des courriels qui proposent à la personne ou à l’entreprise contactée de connaître les cas diagnostiqués dans la région.
  • En Italie, la police enquête sur des fraudeurs qui vendent du matériel sanitaire non conforme ainsi que des remèdes « miracles » à des prix exorbitants. Les ventes se font en ligne, mais également par téléphone et à domicile.

Au-delà des précautions sanitaires, n’oubliez pas de garder vos cerveaux actifs et vigilants !

Whistleblowing et signalements anonymes

mardi 25 Fév 2020

Par Céline Neuhaus

Situation en Suisse

Malgré deux interventions parlementaires en 2003[i] et un projet du Conseil fédéral 10 ans plus tard[ii], la Suisse n’a toujours pas adopté de loi en matière de whistleblowing. En effet, la version modifiée de ce projet, que le Parlement avait jugé trop compliqué, a été rejetée par le Conseil national le 3 juin 2019. Le projet n’est toutefois pas définitivement enterré puisque le Conseil des Etats lui a encore donné une chance en l’adoptant sans modification le 16 décembre 2019. A noter que l’Union européenne s’est dotée en octobre 2019 d’une Directive imposant aux Etats membres de prévoir d’ici deux ans dans leur législation notamment une obligation pour les entreprises de plus de 50 employés de mettre en place des canaux de signalement[iii].

Les parlementaires avancent pour certains que, malgré la modification apportée par le Conseil fédéral[iv], le système est trop compliqué[v] et pour d’autres qu’il ne protège pas suffisamment l’employé qui signale une irrégularité. Certains estiment finalement que les principes généraux du droit suffisent et qu’il appartient aux tribunaux de juger si un signalement est admissible ou non[vi].

Certes, le projet n’est pas parfait. L’argument selon lequel il ne protège pas suffisamment le whistleblower peut être entendu, mais affirmer que la situation actuelle est satisfaisante n’est pas défendable. Le travailleur qui constate des irrégularités doit savoir comment se comporter et bénéficier d’une sécurité juridique quant aux conséquences de son signalement et non espérer qu’un tribunal, le cas échéant, lui donnera raison[vii].

Le projet propose une marche à suivre claire, privilégiant le signalement interne, et incite les entreprises à mettre en place un dispositif de signalement adéquat. Un bon dispositif d’alerte est la meilleure garantie pour des signalements efficaces, utiles et dans l’intérêt de l’entreprise, ainsi que pour une meilleure protection des whistleblowers. Une étude menée par la Haute Ecole Spécialisée de Coire en collaboration avec EQS Group[viii] montre que, même si près de deux entreprises sur trois en Suisse (71% des grandes entreprises) proposent déjà un dispositif d’alerte, plus de deux entreprises sur trois (58% des grandes entreprises) qui n’ont pas de dispositif ne prévoient pas d’en mettre un en place. La raison principale invoquée est par ailleurs l’absence d’obligation[ix]. En outre, il n’est pas certain que les dispositifs d’alerte proposés par les entreprises sont tous conformes aux exigences fixées dans le projet[x], et la communication relative à ces dispositifs est insuffisante[xi].

Irrégularité au travail : que feriez-vous ?

Prenons l’exemple de Daniel, cadre moyen dans une grande entreprise. Daniel soupçonne fortement son chef d’obtenir des avantages indus d’un fournisseur. Mais il n’a pas de preuve, il ne se prend pas pour un justicier et finalement c’est le problème de l’entreprise et pas le sien. De plus, les relations avec son chef sont tendues et, pour ne rien arranger, celui-ci est très apprécié par le management. Toutefois, il découvre un jour par hasard que certaines prestations facturées par ce fournisseur sont inexistantes. Bien qu’il ne se prenne pas pour un héros, sa conscience et son devoir de loyauté envers son employeur lui imposent de signaler ces faits. Encouragé par la possibilité de s’adresser en toute confidentialité à un service indépendant dans l’entreprise, il annonce le cas. La suite ne s’est toutefois pas passée comme il l’imaginait : son identité a été révélée, des plaintes pénales ont été déposées contre lui, il a subi des pressions et s’est finalement retrouvé en incapacité de travail de longue durée alors que son chef travaille toujours dans l’entreprise.

Il s’agit malheureusement de risques réels pour un whistleblower[xii]. Le collaborateur bien avisé qui ne souhaite ni être connu, ni prétériter sa santé et son avenir professionnel, sait qu’il n’a aucun avantage personnel et donc également aucune raison de signaler des irrégularités. Mais il existe une solution : le signalement anonyme.

Signalement anonyme : le meilleur canal de signalement pour l’entreprise et le whistleblower

La première erreur de Daniel, c’est d’avoir pensé que la confidentialité qu’on lui avait garantie le protégerait. Or, confidentialité ne veut pas dire anonymat. Même si l’employeur respecte la confidentialité, une plainte pénale[xiii] de la personne soupçonnée mettra fin à la confidentialité. Et cela n’est pas critiquable ; la personne soupçonnée a aussi des droits, dont celui d’accéder au dossier. Les dispositions relatives à la protection de la personnalité et à la protection des données du travailleur (art. 328 et 328b CO) imposent déjà à l’employeur d’informer la personne soupçonnée et de lui donner l’accès au dossier dès que le secret de l’enquête interne ne l’exige plus[xiv]. L’autre erreur de Daniel, c’est d’avoir pensé que l’existence d’un système d’annonce sur le papier lui garantirait un traitement professionnel de son signalement par l’entreprise. Or, la réalité peut être bien différente.

Ainsi, seul l’anonymat permet au whistleblower, pour autant qu’il ne fournisse pas des informations permettant de l’identifier de manière absolue, d’éviter tous les « effets pervers » d’un signalement[xv]. L’anonymat ne peut être garanti qu’au moyen d’une plateforme informatique conçue à cet effet, dans le sens où l’anonymat est protégé par des moyens techniques[xvi]. C’est ce que propose notamment le Contrôle fédéral des finances depuis juin 2017[xvii]. Tout en garantissant l’anonymat, ce type de plateforme permet également de dialoguer avec le whistleblower. Il s’agit d’une fonctionnalité essentielle pour que le service en charge du traitement puisse établir correctement les faits et récolter les preuves suffisantes.

Certains estiment que les alertes anonymes ne devraient pas être proposées ou autorisées, notamment en raison d’un risque accru d’abus[xviii]. Mais ce risque n’est pas vérifié[xix]. Au contraire, l’étude précitée et l’expérience montrent non seulement qu’il n’y a pas plus d’abus, mais également que le nombre et la qualité des signalements augmentent avec ce type de canal d’alerte spécialisé. Ce mode de signalement est par ailleurs privilégié par rapport à d’autres lorsqu’il est proposé[xx]. Et cela n’a rien d’étonnant. Il n’est pas dans notre culture de dénoncer. Les whistleblowers sont considérés comme des délateurs, avec des motivations forcément suspectes[xxi]. Une bonne communication, notamment sur les droits et obligations du whistleblower, est certainement la meilleure arme contre les abus[xxii].

Avec un système de signalement anonyme tel que décrit ci-dessus, les témoins de dysfonctionnements souhaitant rester discrets, mais pas forcément silencieux, seront encouragés à effectuer un signalement. L’anonymat permet également d’éviter un détournement de l’attention vers le whistleblower et ses motivations. Le temps et les ressources peuvent ainsi être consacrés au sujet pertinent : les irrégularités. De plus, en investissant dans un tel système, l’entreprise donne un signal clair à ses collaborateurs sur sa volonté d’agir contre les comportements contraires à la loi ou à l’éthique. Rappelons que le whistleblowing est l’arme la plus efficace contre les actes qui ne causent pas de victimes directes, tels que notamment la fraude et la corruption[xxiii].


[i] Motion Gysin 03.3212 « Protection juridique pour les personnes qui découvrent des cas de corruption » du 7 mai 2003 et Motion Marty 03.334 « Mesures de protection des whistleblowers » du 19 juin 2003.

[ii] Message du 20 novembre 2013 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2013 [50] p. 8547). Documentation relative au projet : https://www.bj.admin.ch/bj/fr/home/wirtschaft/gesetzgebung/whistleblowing.html

[iii] Directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union, JO L 305 du 26 novembre 2019, p. 17-56.

[iv] Message additionnel du 21 septembre 2018 sur la révision partielle du code des obligations (Protection en cas de signalement d’irrégularités par le travailleur) (FF 2018 [41] p. 6163) et Projet (FF 2019 [7] p. 1423).

[v] Système de signalement en cascade : pour autant que l’employeur ait mis en place un dispositif d’alerte indépendant et avec des règles claires (art. n321aquater al. 2 CO), le signalement doit en principe d’abord être adressé à l’employeur (art. n321abis CO) puis, s’il demeure sans effet, le whistleblower peut s’adresser aux autorités compétentes (art. n321ater CO) et en dernier lieu, à des conditions très strictes, au public (art. n321aquinquies CO).

[vi] Cf. débats parlementaires BO 2019 N 805. Projet du Conseil fédéral 13.094 « CO. Protection en cas de signalement d’irrégularités par le travailleur » du 20 novembre 2013, https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20130094

[vii] Le projet prévoit également le droit pour l’employé de prendre conseil auprès d’une personne soumise à un devoir légal de confidentialité (art. n321asexies CO). L’employé ne risque ainsi pas d’être poursuivi pour la violation d’un secret (Carranza/Micotti, Whistleblowing/Perspectives en droit suisse, Zurich 2014 p. 67 s.). Le whistleblower se verrait d’ailleurs bien inspiré de prendre conseil auprès d’un avocat s’il pense adresser son signalement à l’extérieur de l’entreprise.

[viii] Hauser/Hergovits/Blumer, Rapport 2019 sur les alertes professionnelles, Coire 2019, www.htwchur.ch/whistleblowingreport, ci-après : Rapport 2019.

[ix] Rapport 2019, pp. 18, 25, 28 et 31.

[x] Art. n321aquater al. 2 CO, cf. note 7. Le dispositif d’alerte est souvent rattaché à la direction et aux ressources humaines (aussi pour les grandes entreprises), mais moins souvent à l’audit interne ou au conseil d’administration (Rapport 2019, p. 43).

[xi] Près d’une grande entreprise sur trois ne communique jamais ou une seule fois (Rapport 2019, pp.50 et 52).

[xii] Carranza/Micotti, pp. 52 et 64 ss.

[xiii] Pour diffamation, calomnie, dénonciation calomnieuse ou même violation de la loi sur la protection des données contre l’employeur

[xiv] Carranza/Micotti, p. 85; D. Raedler, L’employé comme partie faible dans l’enquête interne, in : O. Hari (édit.), Protection de certains groupements de personnes ou de parties faibles versus libéralisme économique : quo vadis ?, Zurich 2016, p. 345 ss.

[xv] Carranza/Micotti, p. 52 ss.

[xvi] Il n’est pas possible de tracer l’adresse IP du whistleblower.

[xvii] Un anonymat total pour les lanceurs d’alerte, 24 heures, le 17 novembre 2017, https://www.24heures.ch/suisse/anonymat-total-lanceurs-alerte/story/12815435; Contrôle fédéral des finances: https://www.bkms-system.ch/CDF-fr; également proposé par la Poste https://post.integrityplatform.org et la Cour des comptes de la République et canton de Genève https://www.bkms-system.ch/cdc

[xviii] Avis notamment de Shelby du Pasquier, Le Temps, 30 août 2015, https://www.letemps.ch/economie/whistleblowing-derive-responsabilite-democratique

[xix] Les alertes abusives sont plutôt rares de manière générale et pour celles qui sont anonymes, la proportion est identique (Rapport 2019, p. 9 s.). Les alertes anonymes sont proposées par 2/3 des entreprises suisses dotées d’un dispositif et seules 5% sont abusives (Rapport 2019, pp. 39 s. et 58).

[xx] Les canaux d’alertes spécialisés, comprenant les plateformes digitales, font augmenter le nombre d’alertes et leur pertinence (Rapport 2019, p. 57 s.). Le Rapport annuel 2018 du Contrôle fédéral des finances relève également le succès et la pertinence de la plateforme d’alerte sécurisée (Rapport annuel 2018, p. 74, https://www.efk.admin.ch/fr/publications/communication-institutionnelle/rapports-annuels.html).

[xxi] Également avis du professeur Luc Thévenoz, Le Temps, 19 septembre 2012, https://www.letemps.ch/economie/lanceurs-dalerte-faut-faciliter-tache-suisse. Eviter une culture de la délation est la troisième raison invoquée par les entreprises suisses qui n’ont pas de dispositif d’alerte (Rapport 2019, p. 25).

[xxii] Rapport 2019, pp. 9, 48 et 59.

[xxiii] Carranza/Micotti, p. 8.