CIF et promotion immobilière ne font pas bon ménage...sanction AMF
Vincent Boisseau • 24 février 2024
Être CIF et en même temps marchand de biens immobilier : c'est osé! Surtout si on n'est pas carré sur la réglementation et les conflits d'intérêt !
Présentation
SPI est une société par actions simplifiée à associé unique, immatriculée à Bordeaux
SPI est enregistrée à l’ORIAS en tant que conseiller en investissements financiers (« CIF ») , de courtier en assurance et en réassurance, ainsi que de celui de courtier en opérations de banque et en services de paiement. Elle dispose également de la carte professionnelle de transaction sur immeubles et fonds de commerce (« carte T »).
SPI exerce ses activités sous le nom commercial « Pacerel ».
SPI a aussi développé une activité immobilière d’achat, rénovation et revente d’immeubles situés à Bordeaux. Ces immeubles sont achetés en répondant à des appels d’offres de la société d’économie mixte InCité Bordeaux Métropole Territoires. Le prix d’achat est décoté en raison notamment de l’engagement pris par SPI d’effectuer des travaux importants de réhabilitation des logements, puis par les futurs acquéreurs de les louer selon des barèmes de loyers conventionnés (logement social).
Dans le but de financer ces acquisitions, SPI a créé deux sociétés , dédiées à l’émission des OCA : la SAS M & Pacerel 1 et la SAS Pacerel IM (anciennement dénommée SAS Pacerel 58 Cours de l’Yser). Les sommes levées dans le cadre de ces émissions permettent d’investir des fonds dans les SCI ou SCIA ad hoc, également créées par SPI, qui deviennent propriétaires de l’immeuble objet de l’opération.
C’est dans ces conditions que SPI a monté trois opérations immobilières, dont elle a commercialisé les OCA :
Entre le 10 septembre 2019 et le 17 mars 2022, SPI a conseillé à huit clients la souscription d’obligations convertibles en actions (ci-après « OCA ») aux fins de financement de trois opérations immobilières
« 51 rue Francin », « 43 rue Pelleport » et « 58 cours de l’Yser », pour un montant total de 2 575 000 euros.
Par ailleurs, entre le 4 novembre 2019 et le 24 février 2021, elle a conseillé à quatre clients la souscription de parts du groupement foncier viticole GFV Ménichot (ci-après « GFV Ménichot »), pour un montant total de 245 000 euros. Le concepteur du GFV Ménichot est la société Viti Patrimoine, qui est présidée par M. R, également dirigeant de SPI.
Les GRIEFS
Il est reproché :
Concernant le parcours client :
- de ne pas avoir toujours établi les documents d’entrée en relation (ou qu'il n'y a pas de preuve qu'ils ont été remis)
- de ne pas avoir toujours établi des lettres de mission ou de les avoir établies de manière incomplète et non conforme (absence d'informations sur les instruments financiers et les stratégies d'investissement proposés)
- de ne pas avoir toujours établi un questionnaire de connaissance client ou de l’avoir établi de manière incomplète et non conforme
- de ne pas avoir toujours établi de déclaration d’adéquation ou de l’avoir établie de manière incomplète et non conforme (la DA ne comprend, dans la partie relative aux « Préconisations », la phrase-type suivante : « Pour répondre à votre objectif d’investissement et compte tenu de votre situation, des besoins exprimés, de votre horizon de placement, de votre questionnaire de risque et des informations que vous nous avez déclarées, nous vous conseillons les produits suivants ». De plus, la « Justification de la proposition / motivations » se borne à indiquer « Correspond aux besoins de la cliente », la partie relative au « Rappel de l’objectif du client » ne faisant mention que de « diversification » et « court terme < 24 mois », sans plus de précision ni plus de personnalisation.)
Concernant les notices d'informations des OCA
- d’avoir remis à sa clientèle des documents d’information, portant sur la souscription des OCA imprécis ou inexacts concernant notamment le mode de financement de ces opérations (sur l’objet de l’investissement, au nombre de tranches de travaux à financer, au bilan financier et au rendement de l’opération, informations inexactes et trompeuses sur l’habilitation de SPI à exercer une activité de financement participatif).
- d’avoir encaissé, le 30 août 2019, une somme de 60 000 euros de la part de M. et Mme A, clients de la société, justifiée par l’établissement d’un contrat de prêt de ces personnes à SPI ayant pour objet « le versement d’un dépôt de garantie [de 60 000 euros] dans le cadre d’une acquisition immobilière pour un immeuble de la Commune de BORDEAUX (33000) Rue Francin », en méconnaissance de l’obligation faite aux CIF de ne pas recevoir des fonds autres que ceux destinés à rémunérer leur activité,
Concernant les conflits d'intérêt
- de ne PAS avoir
- (i) identifié les conflits d’intérêts liés aux mandats et prises de participation de son gérant, dans la SAS M & Pacerel 1, la SAS Pacerel IM (les sociétés ayant acquis les biens immobiliers financés par les OCA conseillés à ses clients) et dans la société Viti Patrimoine,
- (ii) mis en œuvre la procédure adaptée pour les gérer
- (iii) et, en l’absence de gestion des conflits d’intérêts, informé ses clients de l’existence de ces conflits (sur un support durable, le DER ou la LDM) et, enfin,
- (iv) actualisé son registre des conflits d’intérêts,
Concernant les flux financiers
- d’avoir conseillé à ses clients de souscrire aux OCA des opérations sans les informer de la totalité des frais payés par les sociétés acquéreuses des biens immobiliers financés par ces OCA au profit de SPI et de sociétés détenues par M. X, et sans expliquer en quoi le modèle économique de ces opérations pouvait fonctionner avec de tels frais (entre 31,6 et 38,6 % du montant levé). Exemple : communication sur 22KEUR de frais alors qu'en réalité ce sont 177KEUR qui ont été versés. Sur N°2 : 214KEUR affichés contre 410KEUR réels.
Concernant la LCBFT
- de ne PAS avoir :
- (i) disposé d’une procédure LCB/FT opérationnelle (procédure vierge et non personnalisée)
- (ii) mentionné le niveau de risque du client correspondant à la classification établie par « la cartographie des risques TRACFIN (à chaque opération) »,
Concernant l'obligation d'apporter son concours à la mission de contrôle
- d’avoir (i) manqué de répondre aux demandes de la mission dans les délais impartis malgré plusieurs relances et (ii) fourni des explications contradictoires concernant les raisons de l’encaissement du chèque de 60 000 euros établi par ses clients M. et Mme A,
Sanctions
A l’encontre de la société SPI : une sanction pécuniaire de 20 000 € + interdiction d’exercer l’activité de CIF pendant deux ans ;
A l’encontre de M. R (dirigeant): une sanction pécuniaire de 10 000 € + interdiction d’exercer l’activité de CIF pendant deux ans ;
crédit photo : https://pxhere.com/fr/photo/630664
Depuis le jeudi 27 février, l'outil O2S d'HARVEST est bloqué suite à une cyberattaque. L'information est officielle depuis le vendredi 28 février. A ce jour , lundi 3 mars, l'outil n'est pas rétabli. A ce jour, aucun élément n'indique qu'il y a eu fuite de données. CONSTATS & ANALYSES Suite à la cyberattaque d’HARVEST, il y a des obligations CNIL à faire en tant que vous Responsable des Traitements et HARVEST sous-traitant. D'autant qu'O2S contient une quantité astronomique de Données à Caractère Personnel sur les clients : adresse, mail, téléphone, RIB, patrimoine, CNI, peut-être données médicales...bref, c'est énorme. Donc il y a effectivement des choses à faire. Voici le lien vers la CNIL qui traite des violations de données personnelles : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles En effet notre analyse est: qu’il y a eu une violation de données du fait d’un cas cité : perte de disponibilité , d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite) En revanche on ne sait pas encore s’il y a eu fuite de données, LE DISPOSITIF d'HARVEST Voici les informations reçues par un CGP, en juillet 2024, sur le dispositif HARVEST : plutôt sérieux. "Sécurité physique : Les serveurs sont hébergés dans un Datacenter Interxion dans l’UE. Le Datacenter a de nombreuses certifications : ISO 14001:2004, ISO 27001 & ISO 22301, ISO 50001:2011, OHSAS 18001, ITIL V3 ,PCI-DSS, HDS (Hébergeur Données Santé). Les infrastructures sont monitorées 24h/24 et 7h/7. Les baies hébergeant les systèmes sont fermées à clé, seul le personnel habilité a accès aux baies : Notre sous-traitant (Waycom) pour la mise à disposition et la supervision des infrastructures d’hébergement travaillant pour le compte d’Harvest (hors baies privées dédiées dont l’accès est géré uniquement par Harvest) Les membres habilités de la DSI Harvest. Les grappes de disques ainsi que les alimentations sont redondées (ainsi que tous les éléments critiques physiques du Datacenter : réseaux internet, réseaux électriques, etc…). Sécurité logique : Les données de production sont accessibles uniquement par un nombre de personnes restreint, défini en accord avec le comité des risques d’Harvest. En aucun cas nos sous-traitants ont accès aux données applicatives. L’accès est basé sur une authentification : compte / mot de passe. Les droits et habilitations sont donnés selon le profil de l’utilisateur. Les flux sont chiffrés (HTTPS). Les données des applications répliquées en continue sur un serveur de secours local et sauvegardées sur un serveur de sauvegarde distant. Les opérations effectuées sur les serveurs sont journalisées. Les serveurs sont mis à jour régulièrement et possèdent un antivirus à jour. Des tests de vulnérabilité sont effectués périodiquement et donnent lieu, si nécessaire, à des plans de remédiation. Réglementaire : Dans le cadre de la réglementation européenne RGPD, un registre des traitements a été créé, il est maintenu par le DPO (Data Protection Officer) d’Harvest. Plan de continuité (PUPA), dans ce cadre Harvest : Dispose d’une procédure de gestion et d’escalade des incidents. A mis en place un comité des risques et est accompagné par un cabinet d’audit externe Activation de la cellule de crise en cas de problème majeurRéalise des évolutions régulières sur l’infrastructure matérielle et logicielle de ses environnements pour améliorer en permanence les performances et la sécurité " QUE FAUT IL FAIRE en interne ? La violation de données et la cyberattaque ne concernent pas VOS systèmes mais ceux d'un sous-traitant. Donc pas de panique. Quand on lit les instructions CNIL, dans cette configuration, il faut documenter la violation de données en interne. QUE FAUT IL FAIRE vis à vis de la CNIL? Là l'instruction est claire : il faut notifier l’incident à la CNIL dans les 72 heures (donc aujourd'hui pour ceux qui ne l'ont pas faite). Pour ce faire, la CNIL vous accompagne : compléter le document préparatoire (aide au remplissage) : https://www.cnil.fr/sites/cnil/files/2023-07/trame_des_notifications_de_violations_de_donnees_0.odt puis faite la notification en ligne : https://notifications.cnil.fr/notifications/ QUE FAUT IL FAIRE vis à vis de vos clients ? Ne faites rien pour le moment ! Il faut prévenir les clients si la fuite de données est avérée. En effet, la CNIL précise : en cas de doute sur l’incidence de la fuite de données personnelles concernant la vie privée des personnes concernées (c’est le cas à ce jour car nous ne savons pas s’il y a eu fuite ou non de données), notifiez à la CNIL qui vous indiquera s’il est nécessaire d’informer les personnes. Voilà Croisons les doigts pour que vous puissiez rapidement travailler et que les données des clients ne fuitent pas.!
SRRI ou SRI...that's the question
L'ACPR nous fait le plaisir de préciser sa position sur le parcours client en assurance : connaissance client, durabilité, devoir de conseil, actualisation,...
Le Sénat veut protéger les consommateurs contre les appels téléphoniques non sollicités et renforcer leurs droits en matière de protection des données personnelles.
Nouveautés dans les agréments de SGP...
Distribution des certificats à gestion active ou actively managed certificates " (AMC) auprès de clients non professionnels ...l'AMF remet les pendules à l'heure
Pour les courtiers, le mandat d'arbitrage ce sera plus de liberté...mais plus de responsabilité ! Et pour les SGP une inscription ORIAS ?
Assurance : enfin des précisions sur la périodicité de l'actualisation des données du client et du conseil !
Voici les supports de notre intervention commune avec la CNCEF PATRIMOINE