AMF, 25 novembre 2020, n° SAN-2020-12
AUTORITÉ DES MARCHÉS FINANCIERS
COMPOSITION DE LA JURIDICTION
Membres :
Mme Schiller, M. Lepitre, M. Millou
Président :
M. Gaeremynck
La 2e section de la commission des sanctions de l’Autorité des marchés financiers (ci-après : « AMF ») :
Vu le règlement délégué (UE) 2017/565 de la Commission du 25 avril 2016 complétant la directive 2014/65/UE du Parlement européen et du Conseil en ce qui concerne les exigences organisationnelles et les conditions d'exercice applicables aux entreprises d'investissement et la définition de certains termes aux fins de ladite directive (ci-après, le « Règlement délégué 2017/565 »), et notamment ses articles 21 à 24 ;
Vu le code monétaire et financier, et notamment ses articles L. 542-1, L. 533-1, L. 533-11, L. 621-15 et R. 621-38 ;
Vu le règlement général de l’AMF, et notamment ses articles 322-1, 322-3, 322-7, 322-16 et 322-17 ;
Après avoir entendu au cours de la séance publique du 6 novembre 2020 :
- M. Didier Guérin, en son rapport ;
- Mme Lauriane Bonnet, représentant le collège de l’AMF ;
- La société X, représentée par M. [...], en vertu d’un pouvoir de représentation de M. [...], gérant de la société, et assistée par ses conseils Mes Géraldine Roch,
Perla Elbaz-Dray et Jade Chillou, avocates du cabinet EY Société d’Avocats.
La mise en cause ayant eu la parole en dernier.
FAITS
La société X [...] qui appartient au groupe Y, est un établissement de crédit agréé pour la fourniture de plusieurs services d’investissement et exerçant notamment l’activité de tenue de compte-conservation d’instruments financiers pour le compte de tiers (ci-après, « TCC »), pour laquelle il est habilité depuis le 3 février 1999.
La société X assure en particulier un service de traitement des instructions de vote en assemblées générales de ses clients investisseurs titulaires de comptes-titres dans ses livres (ci-après, « clients actionnaires au porteur »).
En avril et mai 2018, plusieurs assemblées générales ont été affectées par des incidents survenus sur le traitement par la société X des instructions de vote de ses clients actionnaires au porteur, liés à la transmission par erreur aux émetteurs concernés d’instructions de vote en nombre supérieur aux positions éligibles à droit de vote enregistrées dans les livres de la société X (cas de « sur-voting ») ou inférieur au nombre d’instructions de vote reçues (cas de « sous-voting »).
PROCÉDURE
Le 11 décembre 2018, le secrétaire général de l’AMF a décidé de procéder au contrôle du respect par la société X de ses obligations professionnelles.
Le contrôle a donné lieu à l’établissement d’un rapport du 28 mai 2019.
Le rapport de contrôle a été adressé à la société X par lettre du 29 mai 2019 l’informant qu’elle disposait d’un délai d’un mois pour présenter des observations.
Par lettre du 26 juillet 2019, après qu’une prolongation du délai de réponse lui a été accordée, la société X a déposé ses observations.
Le 3 décembre 2019, le collège de l’AMF, réuni en formation plénière, a décidé de notifier des griefs à la société X
La notification de griefs a été adressée à la société X par lettre du 26 décembre 2019.
Il lui est reproché, dans le cadre du service de traitement des instructions de vote en assemblées générales de ses clients actionnaires au porteur qualifié d’activité de TCC, d’avoir :
− manqué à l’obligation d’agir d’une manière professionnelle au mieux des intérêts de ses clients et à l’obligation de soins pour faciliter l’exercice, par ses clients, des droits de vote attachés à leurs titres financiers conformément à leurs instructions, en méconnaissance des dispositions des articles L. 533-1 et L. 533-11 du code monétaire et financier et 314-3 du règlement général de l’AMF, ainsi que des articles L. 211-9 du code monétaire et financier et 322-7 du règlement général de l’AMF ;
− manqué à l’obligation d’utiliser des moyens humains et matériels adaptés et suffisants et, en particulier, à l’obligation d’établir et de maintenir opérationnels des systèmes et procédures informatiques permettant de sauvegarder l’intégrité des informations relatives aux instructions de vote en assemblées générales de ses clients, ces instructions ayant été affectées par des dysfonctionnements informatiques non détectés et ainsi retransmises aux émetteurs ou centralisateurs de façon infidèle, en méconnaissance des dispositions des articles 322-16, 1° et 322-17 du règlement général de l’AMF ;
− manqué à l’obligation de disposer d’un système efficace de remontées hiérarchiques (reporting), en méconnaissance des dispositions des articles 21.1 e) du Règlement délégué 2017/565 et 322-16, 6° du règlement général de l’AMF ; à l’obligation de mettre en place une organisation appropriée minimisant le risque de perte des droits liés aux instruments financiers de ses clients du fait de négligences, en méconnaissance des dispositions des articles 22.2 a) et 23.1 du Règlement délégué 2017/565 et des articles 312-6, 5°, 322-16, 4°, 322-39 et 322-40 du règlement général de l’AMF ; enfin aux obligations prévues par les articles 24 du Règlement délégué 2017/565 et 322-40, 2° du règlement général de l’AMF en raison de l’absence d’examen et d’évaluation précise par la fonction d’audit interne de l’inadéquation et de l’inefficacité des systèmes, mécanismes de contrôle interne et dispositifs mis en place ayant conduit à l’absence de recommandations permettant de remédier efficacement aux incidents de traitement des instructions de vote des clients actionnaires au porteur ; et
− manqué à l’obligation de conserver un enregistrement exploitable de toutes les données relatives au service de traitement des instructions de vote en assemblées générales en 2016 et 2017, en méconnaissance des dispositions de l’article L. 533-10, II, 6° du code monétaire et financier.
Une copie de la notification de griefs a été transmise le 26 décembre 2019 à la présidente de la commission des sanctions, conformément aux dispositions de l’article R. 621-38 du code monétaire et financier.
Par décision du 9 janvier 2020, la présidente de la commission des sanctions a désigné M. Didier Guérin en qualité de rapporteur.
Par lettre du 23 janvier 2020, la société X a été informée qu’elle disposait d’un délai d’un mois, en application de l’article R. 621-39-2 du code monétaire et financier, pour demander la récusation du rapporteur dans les conditions prévues par les articles R. 621-39-3 et R. 621-39-4 du code monétaire et financier.
Le 16 mars 2020, après avoir bénéficié d’une prolongation du délai imparti, la société X a présenté des observations en réponse à la notification de griefs. La société X a été entendue par le rapporteur le 22 juin 2020, et, à la suite de son audition, a déposé des observations le 1er juillet 2020.
Le rapporteur a déposé son rapport le 22 juillet 2020.
Par lettre du 23 juillet 2020 à laquelle était joint le rapport du rapporteur, la société X a été convoquée à la séance de la commission des sanctions du 6 novembre 2020 et informée qu’elle disposait d’un délai de quinze jours pour présenter des observations en réponse au rapport du rapporteur, conformément aux dispositions du III de l’article R. 621-39 du code monétaire et financier.
Le 11 septembre 2020, la société X a déposé des observations en réponse au rapport du rapporteur, après avoir bénéficié d’une prolongation du délai initialement imparti.
Par lettre du 1er octobre 2020, la société X a été informée de la composition de la formation de la commission des sanctions appelée à délibérer lors de la séance du 6 novembre 2020 ainsi que du délai de quinze jours dont elle disposait, en application de l’article R. 621-39-2 du code monétaire et financier, pour demander, conformément aux articles R. 621-39-2 à R. 621-39-4 du même code, la récusation d’un ou de plusieurs de ses membres.
MOTIFS DE LA DÉCISION
I. Sur la compétence de la commission des sanctions pour connaître des griefs notifiés au titre de l’activité de traitement des instructions de vote en assemblées générales
1. Selon la notification de griefs, le service de traitement des instructions de vote en assemblées générales, consistant à assurer la facilitation des droits de vote des clients actionnaires au porteur, et contribuant ainsi à la sauvegarde (ou conservation) de ces droits, relève d’une activité de TCC au sens des premier et deuxième paragraphes de l’article 322-3 du règlement général de l’AMF.
2. La notification de griefs relève, au surplus, que le service de traitement des instructions de vote en assemblées générales fourni par un teneur de compte-conservateur à ses clients actionnaires au porteur est également qualifiable d’activité consistant à reconnaître au titulaire des titres financiers ses droits sur lesdits titres financiers et d’activité de traitement des événements intervenant dans la vie des titres financiers conservés, lesquelles relèvent de la TCC au sens respectivement des premier et troisième paragraphes de l’article 322-3 du règlement général de l’AMF.
3. La notification de griefs conclut qu’en application des articles L. 542-1 du code monétaire et financier et 322-1 du règlement général de l’AMF, les dispositions communes aux prestataires de services d’investissement prévues par le Titre III du Livre V du code monétaire et financier et par le Livre III du règlement général de l’AMF, ainsi que les dispositions spécifiques à la TCC prévues par les articles 322-1 à 322-90 du règlement général de l’AMF sont applicables à la société X dans le cadre de la fourniture à ses clients actionnaires au porteur du service de transmission de leurs instructions de vote aux assemblées générales des émetteurs concernés, directement ou par le biais de leurs centralisateurs désignés, de sorte que la commission est compétente pour connaître des manquements reprochés.
4. La société X soutient que l’activité de traitement des instructions de vote est seulement régie par les contrats conclus le cas échéant avec les clients concernés, et n’entre pas dans le champ des activités régulées par l’AMF, contrairement aux activités du teneur de compte-conservateur d’inscription des titres en compte, de conservation des titres et de traitement des événements intervenant dans la vie des titres conservés. La mise en cause considère notamment que la notion d’événement intervenant dans la vie des titres financiers, prévue à l’article 322-3, 3° du règlement général de l’AMF fait seulement référence aux opérations sur titres, et ne recouvre pas le service de traitement des instructions de vote, lequel revêt un caractère optionnel et s’inscrit dans le cadre d’une offre commerciale qui ne requiert pas d’agrément.
5. La société X estime, en conséquence, que la commission des sanctions est incompétente pour connaître des manquements qui lui sont reprochés en l’espèce.
1. Sur les textes applicables
6. Les faits reprochés, qui se sont déroulés entre 2016 et 2019, doivent être examinés à la lumière des textes alors en vigueur, sous réserve de l’application rétroactive d’éventuelles dispositions moins sévères entrées en vigueur postérieurement.
Sur la compétence de l’AMF à l’égard des prestataires exerçant une activité de TCC
7. L’article L. 621-15, II du code monétaire et financier, dans sa rédaction en vigueur depuis le 5 décembre 2015, dispose que : « La commission des sanctions peut, après une procédure contradictoire, prononcer une sanction à l'encontre des personnes suivantes : / a) Les personnes mentionnées aux 1° à 8° [...] du II de l'article L. 621-9, au titre de tout manquement à leurs obligations professionnelles définies par les règlements européens, les lois, règlements et règles professionnelles approuvées par l'Autorité des marchés financiers en vigueur, sous réserve des dispositions des articles L. 612-39 et L. 612-40 ; [...] ».
8. Le II de l’article L. 621-9 du code monétaire et financier, dans sa rédaction en vigueur depuis le 19 décembre 2015, dispose que : « L'Autorité des marchés financiers veille également au respect des obligations professionnelles auxquelles sont astreintes, en vertu des dispositions législatives et réglementaires, les entités ou personnes suivantes ainsi que les personnes physiques placées sous leur autorité ou agissant pour leur compte :
1° Les prestataires de services d’investissement [...] agréés ou exerçant leur activité en libre établissement en France [...]
2° Les personnes autorisées à exercer l'activité de conservation ou d'administration d'instruments financiers mentionnées à l'article L. 542-1 ; [...] ».
9. Les dispositions de l’article L. 542-1 du même code, dans sa rédaction en vigueur depuis le 1er avril 2009, prévoient que les établissements de crédit peuvent, à l’instar des autres intermédiaires énumérés à cet article, exercer les activités de tenue de compte-conservation d’instruments financiers lorsqu’ils ont fait l’objet pour cette activité d’administration et de conservation des titres, d’une habilitation délivrée dans le cadre de leur agrément. Ils sont dans ce cas soumis pour cette activité à l’ensemble des obligations législatives et réglementaires s’imposant aux prestataires de services d’investissement pour leur activité en général, ainsi qu’aux règles de contrôle et de sanction applicables à eux.
10. L’article 322-1 du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 19 avril 2013, dispose que :
« I. - Les dispositions de la présente section sont applicables aux personnes mentionnées à l'article L. 542-1 du code monétaire et financier lorsqu'elles fournissent le service de tenue de compte-conservation sur instruments financiers pour compte de tiers et les services accessoires comme la tenue de compte d'espèces correspondant à ces instruments financiers ou la gestion de garanties financières mentionnés à l'article L. 321-2 (1°) du code monétaire et financier [...] ».
Sur la définition de l’activité de TCC
11. L’article L. 211-9 du code monétaire et financier, dans sa rédaction en vigueur depuis le 10 janvier 2009, prévoit que : « Le teneur de compte-conservateur sauvegarde les droits des titulaires des comptes sur les titres financiers qui y sont inscrits. [...] ».
12. L’article 322-3 du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 21 décembre 2013, énonce que : « L'activité de tenue de compte-conservation consiste : / 1° A inscrire dans un compte-titres les titres financiers au nom de leur titulaire, c'est-à-dire à reconnaître au titulaire ses droits sur lesdits titres financiers. [...] /
2° A conserver les avoirs correspondants ; [...] / 3° A traiter les événements intervenant dans la vie des titres financiers conservés. ».
13. L’article 322-7 du même règlement général, dans sa rédaction en vigueur depuis le 19 avril 2013 précise que :
« [...] Le teneur de compte-conservateur respecte en toutes circonstances les obligations suivantes : / [...] / 2° Il apporte tous ses soins à la conservation des titres financiers et veille à ce titre à la stricte comptabilisation de ces derniers et de leurs mouvements dans le respect des procédures en vigueur ; il apporte également tous ses soins pour faciliter l'exercice des droits attachés à ces titres financiers, dans le respect de la réglementation applicable auxdits titres ; [...] ».
Sur le droit de vote attaché aux titres inscrits en compte
14. En vertu de l’article R. 225-85 du code de commerce, dans sa rédaction en vigueur depuis le 1er janvier 2015 :
« I.- Il est justifié du droit de participer aux assemblées générales des sociétés dont les titres sont admis aux négociations sur un marché réglementé ou aux opérations d'un dépositaire central par l'inscription en compte des titres au nom de l'actionnaire ou de l'intermédiaire inscrit pour son compte [...], soit dans les comptes de titres nominatifs tenus par la société, soit dans les comptes de titres au porteur tenus par un intermédiaire mentionné à l'article L. 211-3 du code monétaire et financier. / II.- L'inscription des titres dans les comptes de titres au porteur tenus par un intermédiaire mentionné à l'article L. 211-3 du code monétaire et financier est constatée par une attestation de participation délivrée par ce dernier, le cas échéant par voie électronique [...]. Une attestation est également délivrée à l’actionnaire souhaitant participer physiquement à l’assemblée [...] ».
15. L’article L. 211-3 du code monétaire et financier, auquel renvoie l’article R. 225-85 du code de de commerce, dans sa rédaction en vigueur depuis le 10 janvier 2009, dispose que « Les titres financiers, émis en territoire français et soumis à la législation française, sont inscrits dans un compte-titres tenu soit par l'émetteur, soit par l'un des intermédiaires mentionnés aux 2° à 7° de l'article L. 542-1 [...] ».
2. Sur l’examen de la compétence de la commission des sanctions au regard de la qualification de l’activité de traitement des instructions de vote en assemblées générales
16. Conformément aux articles L. 621-15, II, L. 621-9, II et L. 542-1 du code monétaire et financier, la commission des sanctions peut prononcer une sanction à l’encontre de tout établissement de crédit établi en France habilité à exercer les activités de TCC pour le compte de tiers. Il n’est pas contesté qu’en l’espèce la société X mise en cause est un établissement de crédit de ce type. Par suite la commission des sanctions a compétence pour se prononcer sur d’éventuels manquements de cette société à ses obligations professionnelles. La question de compétence soulevée par cette dernière est en réalité celle de savoir si l’activité de traitement des instructions de votes aux assemblées générales des sociétés, dans l’exercice de laquelle des manquements ont été relevés par la notification de griefs, rentre ou non dans le champ des activités soumises aux obligations professionnelles des TCC.
17. Il ressort du dossier que ce service, fourni par la société X, recouvre la collecte des instructions de vote de ses clients actionnaires au porteur principalement par le biais de messages Swift intégrés dans des systèmes informatiques de même que, selon que la société X est centralisatrice des assemblées générales ou non, la centralisation des instructions de vote pour le compte des émetteurs concernés ou la transmission des instructions de vote en question aux centralisateurs, matérialisant ainsi l’exercice des droits de vote des clients concernés. Il convient de préciser que les instructions de vote collectées par la société X font l’objet d’un rapprochement par cette dernière avec les positions éligibles à droit de vote enregistrées dans ses livres, actualisée jusqu’à une date limite ou « record date » fixée légalement à deux jours ouvrés avant la date de tenue de l’assemblée générale à zéro heure.
18. Le droit de vote est l’un des droits essentiels généralement attachés à un titre financier. Les actionnaires qui en sont détenteurs ne sont pas tenus de l’exercer en passant par l’intermédiaire du TCC de leurs titres. Ils peuvent participer directement à une assemblée générale et dans ce cas justifient de leurs droits par l’attestation mentionnée à l’article R. 225-85 du code de commerce cité ci-dessus au point 14, dont la délivrance par le TCC est l’accessoire de l’activité d’inscription et de conservation des titres assurée par lui. De la même manière lorsque les actionnaires choisissent, dans les conditions précisées ci-dessus, de transmettre leurs instructions de vote par l’intermédiaire du TCC, l’intervention de ce dernier s’inscrit dans l’exacte continuité de ses tâches d’inscription et de conservation de titres et doit être regardée comme en constituant l’accessoire, soumise à ce titre aux mêmes obligations professionnelles. Du bon accomplissement de cette tâche de transmission des instructions qui lui ont été données dépend en effet l’exercice plein et entier par l’actionnaire des droits attachés aux titres inscrits et conservés sous la responsabilité du TCC.
19. Ainsi les dispositions relatives au contenu de l’activité des TCC, figurant pour l’essentiel à l’article R 322-3 du règlement général de l’AMF cité ci-dessus au point 12, doivent- elles se lire à la lumière de celles de l’article L. 211-9 du code monétaire et financier citées ci-dessus selon lesquelles il incombe au TCC de sauvegarder les droits des titulaires de comptes sur leurs titres financiers, et de celles de l’article 322-7 du règlement général selon lesquelles le TCC, outre les soins qu’il apporte à la conservation des titres financiers, apporte également ses soins pour faciliter l’exercice des droits attachés à ces titres financiers.
20. Il résulte de ce qui précède que, comme il a déjà été dit ci-dessus, le TCC est soumis, dans l’activité de traitement des instructions de vote de ses clients actionnaires au porteur, à l’ensemble des obligations professionnelles s’imposant à lui, par ailleurs, pour l’activité de tenue compte-conservation d’instruments financiers pour le compte de tiers.
II. Sur le défaut de clarté et de prévisibilité des textes fondant la compétence de l’AMF en matière de traitement des instructions de vote en assemblées générales invoqué par la société X
21. La société X fait valoir que le contrôle initié par l’AMF à son encontre est contraire au principe de légalité des délits et des peines à défaut de disposition légale ou réglementaire précisant les obligations du teneur de compte- conservateur relatives à l’activité de traitement des instructions de vote et rendant, ainsi, prévisible une éventuelle sanction en la matière. La mise en cause relève également que les incidents de traitement de votes, qui sont courants, n’ont jamais fait l’objet de procédures de la part de l’AMF, ce fait attestant selon elle de ce que le contrôle initié à son encontre n’était pas raisonnablement prévisible.
22. Elle fait valoir, en outre, que si le rôle des intermédiaires dans la facilitation des droits des actionnaires notamment à l’occasion des assemblées générales a été précisé de manière inédite par la directive (UE) 2017/828 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 2007/36/CE (ci-après, « Directive SRD ») en vue de promouvoir l’engagement à long terme des actionnaires, et le règlement d’exécution (UE) 2018/1212 de la Commission du 3 septembre 2018 (ci-après, « Règlement SRD 2 ») fixant des exigences minimales pour la mise en œuvre des dispositions de la Directive SRD en ce qui concerne l'identification des actionnaires, la transmission d'informations et la facilitation de l'exercice des droits des actionnaires, cet ensemble de règles constitutives du dispositif dit « SRD 2 » ont été édictées postérieurement aux faits à raison desquels les manquements ont été notifiés et ne leur sont pas rétroactivement applicables.
23. Le principe de légalité des délits et des peines ne fait pas obstacle à ce qu’à la faveur de la première application d’une règle en vigueur à la date des faits litigieux, la commission des sanctions précise sa portée et en fasse application aux faits à l’origine des manquements qu’elle sanctionne, dès lors que la règle en cause était suffisamment claire, de sorte que la sanction de sa méconnaissance puisse être regardée comme suffisamment prévisible.
24. Il a été rappelé que la lecture combinée des dispositions des articles L. 211-9 du code monétaire et financier, et des articles 322-3 et 322-7, 2° du règlement général de l’AMF établit que le traitement des instructions de vote émanant de leurs clients en assemblées générales est soumise aux obligations professionnelles s’imposant aux TCC dans l’exercice de leur activité, de sorte que le contrôle de la société X portant sur cette partie de l’activité de la société mise en cause était raisonnablement prévisible.
25. Ni le fait que les textes précités ne mentionnent pas expressément cette activité de traitement des instructions de vote en assemblées générales, ni la circonstance que la commission des sanctions ne se soit pas encore prononcée en la matière ne font obstacle à ce que la sanction d’un éventuel manquement professionnel constaté dans le cadre de cette activité puisse être regardée comme prévisible.
26. En outre, la circonstance que le dispositif européen SRD 2, en particulier le Règlement SRD 2, non visé au soutien des griefs notifiés, fixe des obligations plus précises qu’antérieurement à la charge des intermédiaires tels que les teneurs de comptes-conservateurs aux fins de facilitation des droits des actionnaires, ne signifie pas qu’il n’existait pas déjà en la matière des obligations professionnelles dont la violation était susceptible d’être sanctionnée.
27. Il ressort par ailleurs des éléments versés au dossier que, le 19 juillet 2018, c’est à l’AMF, régulateur de ses activités de TCC, que la mise en cause a rendu compte de sa propre initiative des premiers incidents ayant affecté les instructions de vote de ses clients au cours du printemps 2018.
28. Le moyen tiré par la société mise en cause de l’atteinte au principe de légalité des délits et des peines est donc infondé.
III. Sur les griefs notifiés
1. Sur le grief relatif au défaut de professionnalisme et de soins dans la facilitation de l’exercice des droits de vote en assemblées générales attachés aux titres financiers
29. La notification de griefs retient que la société X a transmis à quarante-quatre émetteurs en avril et mai 2018, pour le compte de ses clients actionnaires au porteur, des instructions de vote erronées car en nombre supérieur aux positions éligibles à droit de vote dans ses livres ou en nombre inférieur au nombre d’instructions de vote reçues, de sorte qu’elle n’aurait pas respecté son obligation d’agir d’une manière professionnelle au mieux des intérêts de ses clients de même que son obligation de soins pour faciliter l’exercice, par ses clients, des droits de vote attachés à leurs titres financiers conformément à leurs instructions, en violation des articles L. 533-1 et L. 533-11 du code monétaire et financier et 314-3 du règlement général de l’AMF, qui sont communs aux prestataires de services d’investissement, ainsi que des articles L. 211-9 du code monétaire et financier et 322-7 du règlement général de l’AMF, qui sont spécifiques à l’activité de TCC.
30. Plus précisément, la notification de griefs relève que pour vingt-huit assemblées générales en avril et mai 2018, des instructions de vote excédentaires ont été transmises par la mise en cause aux vingt-huit émetteurs concernés (« sur-voting »), et pour seize autres assemblées générales en mai 2018, des instructions de vote n’ont pas été transmises par la mise en cause aux seize émetteurs concernés (« sous-voting »). La notification de griefs ajoute que ces anomalies résultent d’erreurs dans le codage du logiciel informatique mis en place par la société X pour le traitement des instructions de vote de ses clients, lesquelles ont empêché la prise en compte d’instructions d’annulation ou la détection d’un nombre d’instructions supérieur à la position totale du client, ou encore qui ont entraîné le rejet à tort de nouvelles instructions de vote.
31. La mise en cause ne conteste pas avoir transmis des instructions de vote erronées à quarante-quatre émetteurs, mais considère avoir constamment agi avec soin et professionnalisme.
32. Elle fait valoir que, malgré les incidents survenus, tous les votes de ses clients ont bien été transmis aux assemblées générales et dûment pris en compte par les émetteurs, de telle sorte qu’en définitive elle n’a porté atteinte ni à l’intérêt de ses clients actionnaires ni à l’intérêt de ses clients émetteurs, pour lesquels 95,3 % des assemblées générales se sont déroulées sans incident. Elle précise qu’une seule résolution a vu son sens affecté, mais qu’il a été rétabli par la publication d’un communiqué de presse rectificatif émanant de l’émetteur concerné.
33. La mise en cause affirme également que l’obligation prévue en des termes similaires par les articles L. 533-1, L. 533-11 du code monétaire et financier et 314-3 du règlement général de l’AMF est une obligation de moyens dont la violation ne peut être déduite de la seule existence des incidents de votes, et qu’elle l’a satisfaite en engageant d’importants moyens financiers et en dédiant une équipe entière à l’activité de traitement des instructions de vote.
34. La société X relève, en outre, qu’après la découverte des incidents, elle a promptement mis en place des actions visant à identifier l’ensemble des anomalies à l’origine des incidents et recenser les assemblées générales concernées par ces incidents. Elle évoque, à cet égard, la mise en place d’une cellule de crise entre le 13 et le 27 juillet 2018 pour arrêter un plan de communication à l’égard de ses clients, l’information spontanée de l’AMF au sujet des incidents le 17 juillet 2018, la formalisation d’un mémorandum adressé à l’AMF le 11 septembre 2018, et la présentation du plan de communication précité à l’AMF sans contestation de sa part.
1.1. Sur les textes applicables
35. Les faits reprochés, qui se sont déroulés entre avril et mai 2018, doivent être examinés à la lumière des textes alors en vigueur, sous réserve de l’application rétroactive de dispositions moins sévères entrées en vigueur postérieurement.
Sur les dispositions communes aux prestataires de services d’investissement
36. L’article L. 533-1 du code monétaire et financier, dans sa rédaction en vigueur depuis le 1 er novembre 2007, dispose que : « Les prestataires de services d'investissement agissent d'une manière honnête, loyale et professionnelle, qui favorise l'intégrité du marché ».
37. L’article L. 533-11 du code monétaire et financier, dans sa rédaction en vigueur depuis le 3 janvier 2018, prévoit que : « Lorsqu'ils fournissent des services d'investissement et des services connexes à des clients, les prestataires de services d'investissement autres que les sociétés de gestion de portefeuille agissent d'une manière honnête, loyale et professionnelle, servant au mieux les intérêts des clients. ».
38. L’article 314-3 du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 3 janvier 2018, dispose, quant à lui, que : « Le prestataire de services d'investissement agit d'une manière honnête, loyale et professionnelle, avec la compétence, le soin et la diligence qui s'imposent, afin de servir au mieux l'intérêt des clients et de favoriser l'intégrité du marché. [...] ».
Sur les dispositions spécifiques à l’activité de TCC
39. Les dispositions de l’article L. 211-9 du code monétaire et financier et celles de l’article 322-7 du règlement général de l’AMF dans leur rédaction applicable aux faits de l’espèce ont été rappelées ci-dessus aux points 11 et 13.
1.2. Sur l’examen du grief
40. Il résulte de ce qui a été dit ci-dessus que les obligations énoncées aux articles L. 533-1 et L. 533-11 du code monétaire et financier, et 314-3 du règlement général de l’AMF, qui s’imposent d’une manière générale aux prestataires de services d’investissement, sont de ce fait applicables à l’activité de TCC, de la même manière que celles des articles L. 211-9 du code monétaire et financier et 322-7 du règlement général de l’AMF qui sont spécifiques à cette activité.
41. Il a été précisé, également, que ces obligations sont applicables à l’activité de traitement des instructions de votes collectées lorsque ce service est proposé par les TCC à leurs clients actionnaires au porteur. Elles imposent aux TCC de fournir à ces derniers un service suffisamment performant pour leur permettre d’exercer de manière sécurisée les droits de vote attachés aux titres financiers qu’ils détiennent.
42. En l’espèce, il ressort des éléments versés au dossier que, dans le cadre de la transmission par la société X des instructions de vote de dix-neuf de ses clients actionnaires au porteur, quarante-quatre des neuf cent trente assemblées générales traitées par la mise en cause en 2018 ont été affectées par des incidents de sur-voting et de sous-voting entre le 9 avril et le 24 mai 2018.
43. Ainsi, trente assemblées générales concernées par des cas de sur-voting et de sous-voting ont d’abord été identifiées par la société X dans un mémorandum explicatif daté du 11 septembre 2018. S’agissant des cas de sur-voting, ce mémorandum dénombre vingt-quatre assemblées générales touchées entre le 9 avril et le 14 mai 2018 et relève : « Les cas de survoting rencontrés du 9/04/2018 au 14/05/2018 résultent de la combinaison de deux incidents informatiques affectant le système de collecte des votes des clients en conservation chez la société X (GISproxy) :
- Une erreur humaine dans l’intégration de la nouvelle séquence de code dans le logiciel lors de la mise en production, suite à une évolution affectant l’intégration des swifts d’annulation visant à réduire le nombre de swifts en « To be Repaired ». Cette erreur a empêché dans certains cas la prise en compte de swifts d’annulation.
- Une mauvaise analyse sur la mise en place des impacts [d’un projet de partenariat] sur le calcul des positions restantes à voter le jour de la record date. Cette analyse erronée a empêché la mise en évidence des défauts de provision liés à la non prise en compte des instructions d’annulation et autres cas de survoting. ».
44. S’agissant des cas de sous-voting, ce même mémorandum précise qu’ils se sont déroulés sur les journées des 16 et 24 mai 2018, représentant seize assemblées générales, et précise : « Les raisons de ce deuxième incident sont totalement différentes du premier, et sont dues à une erreur de paramétrage lors de la création des évènements d’Assemblée Générale dans les différents systèmes de gestion des Assemblées Générales. / En effet, [...] la société X agit dans 3 rôles différents :
1. En tant que conservateur, le système utilisé est GISProxy
2. En tant que centralisateur, le système utilisé est AGORA / 3. En tant qu’intermédiaire lorsqu’une société désire solliciter activement les votes de la clientèle de la Banque de détail Y (démarche également décrite comme « recherche aux porteurs »). A la fois GISProxy et AGORA sont utilisés dans ce cas-là. / Lorsque les AGs sont annoncées au BALO, le référentiel AG de GISProxy est alimenté soit par une saisie directe soit par déversement du référentiel AGORA. Lorsque la société X est sollicitée dans le 3 -ème rôle, il est alors possible que 2 évènements d’AG aient été créés dans les 2 référentiels séparés : il faut alors les fusionner pour éviter que des flux de vote ne soient rejetés à tort. / Une erreur humaine lors de l’étape de fusion de certaines AG en 2018 a entraîné que 946 instructions de vote de type ‘NEWM’ soient rejetées à tort pendant les journées du 16 et du 24 Mai, le système de routage ne sachant pas vers quelle AG orienter les votes en raison de la présence anormale de doublons de paramétrage AG dans les référentiels. [...] ».
55. Concernant ensuite ses moyens humains, la mise en cause sollicite l’abandon de sous-grief au motif que les reproches de la notification de griefs résultent d’une déformation des termes du rapport d’audit externe sur lequel elle s’appuie. Elle souligne également qu’en avril 2018, pour faire face à la concentration des assemblées générales entre les mois d’avril et de juin, l’équipe dédiée au traitement des instructions de vote, dite « CTO », était composée de quinze personnes dont douze intérimaires formés à la réception des instructions de vote des clients mais également à opérer un premier niveau de contrôle. La société X ajoute que, pour le traitement des anomalies informatiques, son équipe CTO s’est associée au service informatique, représentant dix-sept personnes. Elle soutient, au surplus, que la notification de griefs ne démontre pas qu’une équipe plus étoffée aurait permis d’éviter les anomalies informatiques et considère que les dysfonctionnements à l’origine des incidents de sur-voting et de sous-voting ont été promptement corrigés grâce à l’importance des moyens humains en place qui étaient, selon elle, adaptés à ces incidents et suffisants au regard de leur ampleur.
2.1. Sur les textes applicables
56. Les faits reprochés sont fondés sur l’analyse d’un rapport de la fonction d’audit interne de la société mise en cause daté du 24 septembre 2018 et d’un rapport d’audit externe daté du 8 janvier 2019 portant respectivement sur les incidents de votes survenus en avril et mai 2018 et sur l’analyse de leurs causes, dont l’une remonte à des tests pratiqués sur un logiciel entre le 12 juin et le 13 octobre 2017, et sur le dispositif informatique de la société X en lien avec le traitement des instructions de vote et la centralisation des assemblées générales pour la saison 2018.
Ces faits seront examinés à la lumière des textes alors en vigueur, sous réserve de l’application rétroactive de dispositions moins sévères entrées en vigueur postérieurement.
57. L’article 322-16, 1° du règlement général de l’AMF, dans sa rédaction en vigueur du 19 avril 2013 au 2 janvier 2018, dispose que « Le teneur de compte-conservateur utilise en permanence des moyens, notamment matériels, financiers et humains adaptés et suffisants. [...] ».
58. Depuis le 3 janvier 2018, le même article est ainsi rédigé : « Dans le respect des dispositions des articles 21, 23, 24, 25 et 27 du règlement délégué (UE) 2017/565 de la Commission du 25 avril 2016, le teneur de compte-conservateur : / 1° utilise en permanence des moyens, notamment matériels, financiers et humains adaptés et suffisants. [...] ». Mais cette rédaction n’ayant pas une portée moins exigeante, il n’y a pas lieu d’en faire une application rétroactive aux faits reprochés antérieurement au 3 janvier 2018.
59. L’article 322-17 du même règlement général, dans sa rédaction en vigueur depuis le 19 avril 2013, ajoute que :
« Le teneur de compte-conservateur établit et maintient opérationnels des systèmes et procédures permettant de sauvegarder la sécurité, l'intégrité et la confidentialité des informations de manière appropriée eu égard à la nature des informations concernées. ».
2.2. Sur le moyen tiré de l’atteinte au principe non bis in idem en raison du cumul de qualifications
60. Le grief précédent est tiré de la survenance des anomalies constatées en avril et mai 2018 dans le cadre du traitement par la société X des instructions de vote en assemblées générales de ses clients actionnaires au porteur, tandis que le présent grief est tiré de l’insuffisance des moyens affectés par la mise en cause à cette activité.
61. Aussi, contrairement à ce qu’affirme la société X, les deux griefs précités ne reposent pas sur les mêmes faits, de sorte que le moyen tiré d’un éventuel cumul de qualifications n’est pas fondé.
2.3. Sur l’examen du grief
62. Il convient d’examiner successivement les moyens matériels et les moyens humains de la mise en cause sur la période concernée par le grief. Ces moyens ont été analysés par deux rapports versés au dossier, l’un déjà cité au point 45 établi par la mission spéciale diligentée par l’inspection générale de Y dans le cadre de sa fonction d’audit interne de la société X sur les votes aux assemblées générales et diffusé le 24 septembre 2018, l’autre étant un rapport d’audit externe daté du 8 janvier 2019 concernant les systèmes informatiques de la mise en cause pour le traitement des instructions de vote de ses clients pour la saison 2018 des assemblées générales.
63. S’agissant tout d’abord des moyens matériels, le rapport de mission spéciale, mentionné ci-dessus, fait état de « manquements aux normes du Groupe en termes de ségrégation des tâches et de contrôle des livraisons IT » et indique que « les tests [réalisés sur les outils de traitement des instructions de vote avant les incidents d’avril et mai 2018] ne bénéficient pas d’un protocole complet et sont réalisés dans des configurations insuffisamment représentatives des conditions de production ». Sur ce dernier point, le rapport de mission spéciale considère que sont « déficients » les contrôles réalisés du 12 juin au 13 octobre 2017 sur la troisième version de GISProxy, livrée à la société X en octobre 2017 et utilisée par elle dans le cadre du traitement des instructions de vote aux assemblées générales du printemps suivant (version 2017-V3).
64. Ce rapport relève également que : « Pour la version d’octobre 2017 de GISProxy, la recette fonctionnelle liée à l’évolution [de l’application dans le cadre d’une nouvelle offre] était limitée à 4 cas de tests. Ils portaient à la fois sur la nouvelle fonctionnalité et l’absence de régression dans l’intégration des fichiers et dans la transmission d’instructions de votes. Trois de ces cas de tests portaient sur l’intégration de fichiers. Un seul permettait de vérifier la bonne mise à jour des positions et le processus de short position. Sur la base des spécifications de l’application, l’analyse de l’IG met en exergue le manque de couverture de la recette de non-régression effectuée lors de cette livraison. Sur un échantillon de 34 fonctionnalités de GISProxy, 14 fonctionnalités n’ont pas fait l’objet de tests avant la livraison d’octobre 2017. [...] ».
65. Le rapport de mission spéciale relève en outre « le caractère encore trop manuel de certains contrôles liés à la centralisation des AG ».
66. Par ailleurs, il ressort en substance du rapport d’audit externe mentionné ci-dessus que l’ensemble de règles fonctionnelles relatives à l’intégration des votes était inapproprié, insuffisamment détaillé et ne couvrait pas suffisamment de cas. Ce rapport d’audit externe souligne en particulier que la navigation notamment sur l’outil GISProxy était sujette à des erreurs manuelles, que de multiples parties de code informatique ont été mal testées du fait de tests manquants ou incorrects et que le traitement des erreurs et leur récupération n’étaient ni complets ni standardisés, ce qui a entraîné des actions de remédiation (dites de « debugging ») plus lentes et plus complexes et une récupération manuelle en cas d’incident.
67. Le rapport d’audit externe précité relève encore que les tests à pratiquer sur les logiciels étaient parfois sous-développés de sorte que toutes les combinaisons de messages ou de situations de comptes ne pouvaient être testées.
68. En outre, lors de son audition par la mission de contrôle, le responsable informatique de l’équipe IT Corporate Trust Services de la société X a indiqué : « Il me semble que des tests plus exhaustifs auraient pu détecter le défaut.
Pour autant, de tels tests auraient été très complexes à mettre en œuvre. [...] », confirmant de ce fait le caractère insuffisant des tests pratiqués sur la version alors en cours de GISProxy par rapport au premier incident de sur-voting. Il a également déclaré, concernant les cas de sous-voting intervenus les 16 et 24 mai 2018 : « Lors de l’identification de l’incident, nous n’avons pas été en mesure de restaurer la base en date du 24 mai 2018. Il n’a donc pas été possible de valider les explications d’incident que nous avons retenues. ».
69. L’analyse de ces éléments établit que les tests prévus par les procédures informatiques de la mise en cause sur le logiciel GISProxy n’étaient ni complets, ni suffisants pour permettre d’éviter les incidents ayant résulté des anomalies constatées.
70. S’agissant ensuite des moyens humains de la société X, le rapport d’audit externe précité considère que l’une des faiblesses les plus importantes dans l’organisation de l’équipe informatique de la société X résidait dans la concentration des rôles sur quelques personnes clés, notamment le fait que les corrections de défauts et dysfonctionnements dépendaient largement de seulement deux personnes pendant la période des incidents de votes d’avril et mai 2018.
71. La mise en cause a contesté cet élément en déclarant lors de son audition par le rapporteur : « Il y a bien 2 collaborateurs chargés d’aider les opérationnels, mais il y a aussi 17 autres personnes en support pour traiter les problèmes les plus complexes. Au moment du pic des assemblées générales de 2018, il y avait environ 40 personnes dédiées au traitement des instructions de vote (opérationnels et informatique) pour la centralisation et le proxy, dont les 17 précitées ». Cependant, aucun des éléments versés au dossier n’étaye de manière précise cette affirmation de sorte qu’il n’y a pas lieu de remettre en cause le constat précité du rapport d’audit externe, selon lequel le traitement des erreurs en lien avec le traitement des instructions de vote incombait principalement à deux personnes.
72. La circonstance que la notification de griefs relève que « le contrôle opérationnel affecté à la correction des « bugs » et aux demandes de correction des outils comprenait seulement 2 ETP » alors que ce processus dépendait en grande partie, mais pas seulement, de deux personnes, selon le rapport d’audit externe du 8 janvier 2019 ne justifie pas l’abandon de ce sous-grief dès lors qu’elle n’est pas révélatrice de faits distincts de ceux relevés par la notification de griefs et que de tels effectifs demeurent insuffisants pour les raisons évoquées précédemment, ce qui correspond à l’énoncé du grief dans l’acte de poursuite.
73. L’affectation limitée à deux personnes à temps plein pour le traitement des instructions de vote apparait insuffisante compte tenu du volume d’instructions à traiter à cette période, également relevé dans le rapport d’audit externe.
74. Ainsi, le constat de la notification de griefs, repris du rapport de contrôle, selon lequel les incidents de votes d’avril et mai 2018 trouvaient leur origine dans les faibles moyens alloués par la mise en cause à l’activité de traitement des instructions de vote en assemblées générales est-il vérifié.
75. Au total, il résulte de ce qui précède que la société X a manqué à l’obligation de disposer de moyens adaptés et suffisants dans le cadre de son activité de TCC, en violation du 1° de l’article 322-16 du règlement général de l’AMF, de sorte que ce manquement est caractérisé.
76. Il résulte également de l’ensemble de ce qui précède, en particulier du constat relatif à l’origine des incidents et de l’impossibilité de restaurer les données de base du 24 mai 2018 les rendant indisponibles et inexploitables, que la société X ne disposait pas de systèmes et procédures opérationnels permettant de sauvegarder l’intégrité des informations relatives aux instructions de vote en assemblées générales de ses clients actionnaires au porteur, en violation de l’article 322-17 du règlement général de l’AMF, de sorte que ce second manquement est également caractérisé.
3. Sur le grief relatif aux défaillances des dispositifs de reporting, de contrôle interne, de conformité et d’audit interne
77. Sont reprochées à la société X des défaillances dans ses dispositifs de remontée hiérarchique des informations (reporting), de conformité, contrôle interne et gestion des risques, et d’audit interne.
78. En premier lieu, la notification de griefs relève que la société X a détecté, analysé et géré tardivement les anomalies de traitement des instructions de votes en assemblées générales ayant entraîné le premier incident de sur-voting à l’assemblée générale de PSA le 24 avril 2018, en raison notamment d’une lente remontée hiérarchique des informations et de ressources internes insuffisantes. A cet égard, la notification de griefs affirme que la hiérarchie n’a pas été immédiatement alertée de l’existence de cet incident. Elle ajoute qu’il a fallu attendre plus de deux mois après la découverte dudit incident pour qu’une étude d’impact sur l’ensemble des assemblées générales concernées par un traitement d’instructions de vote soit initiée par la société X, et plus de dix mois pour que cette étude soit revue par la direction des risques. Elle en conclut que la mise en cause ne disposait pas d’un système efficace de remontées hiérarchiques dans le cadre de son activité de TCC, en méconnaissance des dispositions des articles 21.1.e) du Règlement délégué 2017/565 et 322-16, 6° du règlement général de l’AMF.
79. En deuxième lieu, la notification de griefs retient que la qualité des contrôles opérationnels de premier niveau et des contrôles des risques de deuxième niveau au sein de la société X était insuffisante, ce dont elle déduit que la mise en cause a fait une appréciation erronée du niveau de risque associé au processus de décompte des instructions de vote. La notification de griefs reproche également à la mise en cause de ne pas avoir disposé de politiques, procédures et dispositifs efficaces de gestion des risques liés à son activité de TCC garantissant le traitement conforme des instructions de vote de ses clients, et de ne pas avoir établi de mécanismes de contrôle interne appropriés mis en œuvre de façon suffisamment récurrente par rapport au risque réel d’erreur de décompte des instructions de vote. Sur ce dernier point, la notification de griefs relève que la direction des risques de la société X n’a participé ni à l’étude d’impact mentionnée au point 78, ni à la rédaction du mémorandum du 11septembre 2018 évoqué au titre du premier grief. Sur la base de ces éléments, il est fait grief à la mise en cause d’avoir manqué à son obligation de mettre en place une organisation appropriée minimisant le risque de perte des droits liés aux instruments financiers de ses clients du fait de négligences, en méconnaissance des dispositions des articles 22.2. a) et 23.1 du Règlement délégué 2017/565, et 312-6, 5°, 322-16, 4°, 322-39 et 322-40 du règlement général de l’AMF.
80. En troisième lieu, la notification de griefs relève que la fonction d’audit interne de la société X n’a pas analysé, lors de ses missions générales en 2016 et 2017, l’activité de traitement des instructions de vote en assemblées générales de ses clients actionnaires au porteur et, lors de sa mission spéciale du 12 juillet au 29 août 2018, n’a pas procédé elle-même au recensement des dysfonctionnements et de leur impact. La notification de griefs ajoute que la fonction d’audit interne de la société X n’a pas été informée de la revue effectuée par la direction des risques en février 2019 ayant permis d’identifier des incidents supplémentaires. La notification de griefs déduit de l’ensemble de ces éléments que la fonction d’audit interne de la mise en cause n’a pas pu examiner et évaluer précisément l’inadéquation et l’inefficacité des systèmes, mécanismes de contrôle interne et dispositifs mis en place et n’a donc pas été en mesure de formuler des recommandations permettant de remédier efficacement aux incidents de votes, en méconnaissance des dispositions des articles 24 du Règlement délégué 2017/565 et 322-40, 2° du règlement général de l’AMF.
81. La société X conteste ce grief. Concernant son dispositif de reporting, elle soutient qu’il s’est avéré efficace, du fait de la remontée successive des informations relatives à l’incident de sur-voting mentionné dans la notification de griefs au sein d’abord de la société X puis de sa société mère. La mise en cause fait également valoir que le calendrier de l’étude d’impact des incidents de votes sur les assemblées générales concernées s’explique par son choix de prioriser le traitement des instructions de vote pour les assemblées à venir et de renforcer les contrôles à opérer sur ces votes.
82. La mise en cause fait ensuite valoir que son dispositif de contrôle interne est calqué sur celui du groupe Y qui a été validé par les régulateurs dont la Banque centrale européenne. Elle précise qu’il s’articule autour de trois lignes de défense avec un premier niveau de contrôle réalisé par les opérationnels, un deuxième niveau de contrôle réalisé par des fonctions dédiées telles que la fonction conformité (dite « fonction Compliance ») et la fonction dédiée aux risques (dite « fonction Risk »), et un service d’audit interne chargé du contrôle périodique.
83. La société X admet l’absence d’identification du premier incident de vote par sa fonction de contrôle de premier niveau, mais affirme que le plan de contrôle exécuté par les opérationnels à l’époque avait permis d’identifier de nombreux incidents sur les années antérieures à 2018 de sorte qu’il apparaissait suffisant. Elle précise que ce plan de contrôle a été renforcé avec l’ajout de points de contrôle supplémentaires après les incidents d’avril et mai 2018.
84. La mise en cause soutient également que son deuxième niveau de contrôle n’était pas défaillant. A cet égard, elle présente la répartition des compétences entre les fonctions Risk et Compliance en matière de gestion des risques qui permet, selon elle, un contrôle de deuxième niveau pleinement opérationnel. Elle considère en outre que le contrôle de deuxième niveau réalisé par la fonction Risk sur le processus de vote a été mené efficacement. La société X ajoute que les risques liés aux assemblées générales de 2018 ont été promptement portés à la connaissance du responsable de la conformité.
85. Concernant enfin sa fonction d’audit interne, la mise en cause souligne qu’elle est assurée par l’inspection général de Y qui est libre de déterminer son programme d’audit, sur lequel la société X n’a pas de pouvoir décisionnel, de sorte que le reproche de la notification de griefs relatif au périmètre des missions générales n’est pas fondé. Elle considère, s’agissant des missions spéciales, que celles-ci ont été réalisées en conformité avec les procédures internes du groupe qui prévoient que l’inspection générale est une fonction de contrôle autonome chargée d’auditer des processus et non de s’assurer de l’exactitude des contrôles menés sur les incidents de votes en l’espèce. Cela justifie par ailleurs, selon elle, que la fonction Risk n’ait pas porté à la connaissance de l’inspection générale de Y les incidents découverts lors de sa revue en février 2019.
3.1. Sur les textes applicables
Sur le dispositif de reporting
86. Les faits reprochés, qui se sont déroulés entre avril 2018 et février 2019, doivent être examinés à la lumière des textes en vigueur à cette époque, sous réserve de l’application rétroactive de dispositions moins sévères entrées en vigueur postérieurement.
87. L’article 21.1 e) du Règlement délégué 2017/565, dans sa rédaction entrée en vigueur le 20 avril 2017 et complétant la directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (ci-après, « Directive MIF 2 ») entrée en application depuis le 3 janvier 2018, dispose que « Les entreprises d'investissement respectent les exigences organisationnelles suivantes : / [...] / e) elles établissent, mettent en œuvre et gardent opérationnel, à tous les niveaux pertinents de l'entreprise d'investissement, un système efficace de reporting interne et de communication des informations ; [...] ».
88. L’article 322-16, 6° du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 3 janvier 2018, énonce que : « Dans le respect des dispositions des articles 21, 23, 24, 25 et 27 du règlement délégué (UE) 2017/565 de la Commission du 25 avril 2016, le teneur de compte-conservateur : / [...] / 6° établit et maintient opérationnel un système efficace de remontées hiérarchiques et de communication des informations à tous les niveaux pertinents. [...] ».
Sur le dispositif de contrôle interne, de conformité et de gestion des risques
89. La défaillance de contrôle de premier niveau relevée par la notification de griefs se rapporte aux incidents de votes d’avril et mai 2018. Concernant les contrôles de deuxième niveau, la notification de griefs renvoie au rapport de contrôle, qui se réfère à la charte du contrôle interne du groupe Y datée de juin 2017 ainsi qu’à une cartographie des risques validée en 2017 et un contrôle daté du 31 juillet 2018, et critique l’implication de la direction de la conformité et de la direction des risques de la mise en cause après la survenance des incidents de votes jusqu’au mémorandum du 11 septembre 2018. Les faits reprochés doivent donc être examinés au regard des textes applicables en 2017 et 2018, sous réserve de l’application rétroactive de dispositions moins sévères entrées en vigueur postérieurement.
90. L’article 313-2 du règlement général de l’AMF, dans sa rédaction en vigueur du 21 décembre 2013 au 2 janvier 2018, dispose que : « I. - Le prestataire de services d'investissement établit et maintient opérationnelle une fonction de conformité efficace exercée de manière indépendante et comprenant les missions suivantes : / 1° Contrôler et, de manière régulière, évaluer l'adéquation et l'efficacité des politiques, procédures et mesures mises en place en application de l'article 313-1, et des actions entreprises visant à remédier à tout manquement du prestataire de services d'investissement et des personnes concernées à leurs obligations professionnelles mentionnées au II de l'article L. 621-15 du code monétaire et financier ; [...] ».
91. L’article 22.2 a) du Règlement délégué 2017/565, dans sa rédaction entrée en vigueur le 20 avril 2017 et complétant la Directive MIF 2 entrée en application depuis le 3 janvier 2018, dispose que : « Les entreprises d'investissement établissent et gardent opérationnelle en permanence une fonction de vérification de la conformité efficace qui fonctionne de manière indépendante et est investie des missions suivantes : / a) contrôler, en permanence, et évaluer, à intervalles réguliers, l'adéquation et l'efficacité des mesures, politiques et procédures mises en place en application du paragraphe 1, premier alinéa, ainsi que des actions entreprises pour remédier à d'éventuels manquements de l'entreprise à ses obligations ; [...] ».
92. Les dispositions de l’article 22.2 a) du Règlement délégué 2017/565 ne sont pas moins sévères que celles équivalentes de l’article 313-2 du règlement général de l’AMF précité, de sorte qu’il n’y a pas lieu d’en faire une application rétroactive aux faits antérieurs au 3 janvier 2018.
93. L’article 23.1 du Règlement délégué 2017/565, dans sa rédaction entrée en vigueur le 20 avril 2017 et complétant la Directive MIF 2 entrée en application depuis le 3 janvier 2018, prévoit de son côté que : « Les entreprises d'investissement prennent les mesures suivantes relatives à la gestion des risques : / a) elles établissent, mettent en œuvre et gardent opérationnelles des politiques et des procédures efficaces de gestion des risques permettant de repérer les risques liés aux activités, aux processus et aux systèmes de l'entreprise, et, le cas échéant, de déterminer le niveau de risque toléré par l'entreprise ; / b) elles adoptent des dispositifs, des processus et des mécanismes permettant de gérer efficacement les risques liés aux activités, aux processus et aux systèmes de l'entreprise eu égard à son niveau de tolérance au risque ; / c) elles contrôlent : / (i) l'adéquation et l'efficacité de leurs politiques et procédures de gestion des risques ; / (ii) le degré avec lequel l'entreprise d'investissement et les personnes concernées se conforment aux dispositifs, aux processus et aux mécanismes adoptés en application du point b) ; et / (iii) l'adéquation et l'efficacité des mesures prises pour remédier à toute déficience au niveau de ces dispositifs et procédures, y compris toute défaillance des personnes concernées dans le respect de ces dispositifs ou l'application de ces procédures. [...] ».
94. L’article 313-13, 5° du règlement général de l’AMF, dans sa rédaction en vigueur du 21 octobre 2011 au 2 janvier 2018, dispose que : « Le prestataire de services d'investissement se conforme, en vue de sauvegarder les droits de ses clients sur les instruments financiers leur appartenant, aux obligations suivantes : / [...] 5° Il met en place une organisation appropriée minimisant le risque de perte ou de diminution de la valeur des instruments financiers des clients ou des droits liés à ces instruments financiers, du fait d'abus ou de fraudes sur ces instruments financiers, d'une administration déficiente, d'un enregistrement erroné ou de négligences. »
95. Depuis le 3 janvier 2018, les dispositions précitées de l’article 313-13, 5° du règlement général de l’AMF ont été reprises en des termes identiques à l’article 312-6, 5° du règlement général de l’AMF.
96. Il n’y a donc pas lieu d’appliquer rétroactivement ces dernières dispositions plus récentes aux faits antérieurs au 3 janvier 2018.
97. L’article 322-16, 4° du règlement général de l’AMF, dans sa version en vigueur du 19 avril 2013 au 2 janvier 2018, énonce que : « I. - Le teneur de compte-conservateur [...] / IV. – [...] établit et maintient opérationnels des mécanismes de contrôle interne appropriés, conçus pour garantir le respect des décisions et procédures à tous les niveaux du teneur de compte-conservateur. [...] ».
98. Depuis le 3 janvier 2018, l’article 322-16, 4° du règlement général de l’AMF dispose que : « Dans le respect des dispositions des articles 21, 23, 24, 25 et 27 du règlement délégué (UE) 2017/565 de la Commission du 25 avril 2016, le teneur de compte-conservateur : [...] / 4° établit et maintient opérationnels des mécanismes de contrôle interne appropriés, conçus pour garantir le respect des décisions et procédures à tous les niveaux du teneur de compte-conservateur. [...] ». Sa rédaction ayant ainsi été modifiée sans présenter un caractère moins sévère, il n’y a pas lieu d’en faire une application rétroactive.
99. L’article 322-39 du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 19 avril 2013, dispose que : « Les teneurs de compte-conservateurs s'assurent du respect des dispositions qui leur sont applicables ainsi que du respect par les personnes placées sous leur autorité ou agissant pour leur compte des dispositions applicables aux teneurs de compte-conservateurs eux-mêmes et à ces personnes. / Ils désignent à cette fin un responsable du contrôle, qui, chez les teneurs de compte-conservateurs prestataires de services d'investissement, est un responsable de la conformité pour les services d'investissement. / Le responsable du contrôle dispose de l'autorité, des ressources et de l'expertise nécessaires et d'un accès à toutes les informations pertinentes. Il n'est pas impliqué dans l'exécution des opérations qu'il contrôle. / Il s'assure de la qualité des procédures spécifiques à l'activité de tenue de compte-conservation et de la fiabilité des outils de contrôle et de pilotage. / Il dispose d'une documentation régulièrement mise à jour décrivant l'organisation des services, les procédures opérationnelles et l'ensemble des risques courus du fait de l'activité de tenue de compte-conservation. / Il peut consulter les principaux tableaux de bord et il est destinataire des fiches d'anomalies et des réclamations formulées par les clients ou par les partenaires professionnels, relatives notamment aux dysfonctionnements et aux éventuels manquements à la déontologie du métier. ».
100. L’article 322-40 du règlement général de l’AMF, dans sa rédaction en vigueur depuis le 19 avril 2013, énonce que : « Le responsable du contrôle organise le contrôle de l'activité de tenue de compte-conservation en distinguant:
1° Les dispositifs qui assurent au quotidien le contrôle des opérations ;
2° Les dispositifs qui, par des contrôles récurrents ou inopinés ainsi que par des audits détaillés des procédures opérationnelles, assurent la cohérence et l'efficacité du contrôle des opérations. ».
101. Ainsi, hormis les articles 322-39 et 322-40 du règlement général de l’AMF qui sont inchangés depuis le 19 avril 2013, il convient de distinguer les textes applicables comme suit :
- pour les faits antérieurs au 3 janvier 2018, les articles 313-2, 313-13, 5° et 322-16, 4° du règlement général de l’AMF dans leurs versions précitées en vigueur jusqu’au 2 janvier 2018 ; et
- pour les faits à compter du 3 janvier 2018, les articles 22.2 a), 23.1 du Règlement délégué 2017/565, 312-6, 5° et 322-16, 4° du règlement général de l’AMF dans leurs versions précitées en vigueur à cette date insusceptibles d’application rétroactive.
Sur le dispositif d’audit interne
102. Les faits reprochés, qui se sont déroulés entre 2016 et février 2019, doivent être examinés à la lumière des textes en vigueur à cette époque, sous réserve de l’application rétroactive de dispositions moins sévères entrées en vigueur postérieurement.
103. L’article 24 du Règlement délégué 2017/565, dans sa rédaction entrée en vigueur le 20 avril 2017 et complétant la Directive MIF 2 entrée en application depuis le 3 janvier 2018, dispose que : « Les entreprises d'investissement, lorsque cela est approprié et proportionné eu égard à la nature, à l'échelle et à la complexité de leur activité, ainsi qu'à la nature et à l'éventail des services et des activités d'investissement composant leur activité, établissent et gardent opérationnelle une fonction d'audit interne distincte et indépendante des autres fonctions et activités de l'entreprise d'investissement et dont les responsabilités sont les suivantes :
a) établir, mettre en œuvre et garder opérationnel un programme d'audit visant à examiner et à évaluer l'adéquation et l'efficacité des systèmes, des mécanismes de contrôle interne et des dispositifs de l'entreprise d'investissement ;
b) formuler des recommandations fondées sur les résultats des travaux réalisés conformément au point a) et vérifier le respect de ces recommandations ;
c) faire rapport sur les questions d'audit interne conformément à l'article 25, paragraphe 2. ».
104. Les dispositions de l’article 322-40, 2° du règlement général de l’AMF en vigueur à la date des faits reprochés, ont été reproduites au titre des textes applicables au dispositif de contrôle interne, conformité et gestion des risques.
Elles sont également applicables au dispositif d’audit interne,
3.2. Sur l’examen du grief
105. Il convient d’examiner successivement les trois sous-griefs relatifs au dispositif de reporting, au dispositif de conformité, contrôle interne et gestion des risques et au dispositif d’audit interne de la mise en cause.
Sur le sous-grief relatif au dispositif de reporting
106. Le 30 avril 2018, les opérationnels de l’équipe CTO en charge du traitement des instructions de vote au sein de la société X ont été alertés par le centralisateur de l’assemblée générale de PSA du 24 avril 2018 du premier incident de sur-voting ayant affecté cette assemblée générale, soit une semaine après sa tenue. Entre le 30 avril et le 27 juin 2018, l’information relative à cet incident de vote a circulé entre les seuls membres de l’équipe CTO sans être transmise à la hiérarchie de ces opérationnels en charge du traitement des instructions de vote, y compris les 30 avril et 7 mai 2018, dates invoquées sans fondement par la mise en cause pour contester ce sous-grief.
107. Le 27 juin 2018, cette information a été transmise à la responsable de l’équipe CTO et au directeur général de la société X, soit deux mois après la première alerte du centralisateur de l’assemblée générale de la société PSA mentionnée ci-dessus.
108. Le 4 juillet 2018, l’information relative à cet incident a été transmise au délégué général aux grands clients, membre du comité exécutif de Y, qui a lui-même informé la direction générale du groupe. A cette même date, l’équipe opérationnelle CTO de la société X a initié une étude d’impact sur l’ensemble des assemblées générales ayant donné lieu à un traitement d’instructions de vote par ses soins. Cette étude d’impact a été finalisée le 23 juillet 2018 et revue plusieurs mois plus tard dans le cadre d’un contrôle de deuxième niveau par la fonction de gestion des risques de la société X, qui a établi un rapport daté du 21 février 2019.
109. La responsable de la conformité et RCSI de la société X a en outre déclaré, lors de son audition par les contrôleurs, qu’elle avait été informée des incidents de votes au cours des réunions de la cellule de crise mises en place quotidiennement entre le 13 et le 27 juillet 2018, et du résultat de l’étude d’impact conduite par les opérationnels de l’équipe CTO à la fin du mois d’août 2018.
110. Le rapport de mission spéciale de la fonction d’audit interne de la société X sur les votes aux assemblées générales diffusé le 24 septembre 2018 fait état d’un « manque de reporting des incidents IT », précisant que l’incident relatif à l’assemblée générale de PSA du 24 avril 2018 n’a été déclarée par le biais des applications informatiques dédiées qu’à compter du 4 juillet 2018.
111. Ce même rapport relève que « l’incident PSA souligne des lacunes au sein de la société X en termes de communication interne. Alors que son origine était connue depuis fin avril, l’analyse d’impact n’a été lancée qu’en juillet. Ce report s’explique par la forte charge opérationnelle des équipes pendant la saison des AG mais aussi parce que la portée de l’incident était alors sous-évaluée ».
112. L’analyse du calendrier, tel qu’il ressort des éléments qui précède, établit que la transmission de l’information relative à cet incident s’est effectuée sur près de dix mois, entre avril 2018 et février 2019, établissant ainsi l’absence de système efficace de reporting interne dans le cadre de l’activité de TCC de la mise en cause. Le sous-grief tiré de la violation des articles 21.1 e) du Règlement délégué 2017/565 et 322-16, 6° du règlement général de l’AMF est donc caractérisé.
Sur le sous-grief relatif au dispositif de contrôle interne, conformité et gestion des risques
113. Il convient d’examiner la qualité des contrôles opérationnels de premier niveau et des contrôles des risques de deuxième niveau effectués par la mise en cause.
114. Il ressort des pièces du dossier que le premier niveau de contrôle dans le cadre du traitement par la société X des instructions de vote en assemblées générales est assuré par l’équipe opérationnelle CTO. A cet égard, la charte du contrôle interne du groupe Y prévoit que les membres de cette équipe « ont, [...], la responsabilité de la réalisation des objectifs fixés et de la maîtrise des risques engendrés par les activités qu’ils gèrent », ce qui implique notamment de « identifier et évaluer les risques, avérés ou potentiels, auxquels [leurs activités] sont exposées ».
L’existence des incidents de votes d’avril et mai 2018 permet toutefois d’établir que l’équipe opérationnelle CTO de la société X n’a pas été en mesure d’identifier et de maîtriser les risques liés au traitement des instructions de vote des clients actionnaires au porteur, alors que ces risques s’étaient ainsi matérialisés et avaient conduit à la transmission erronée d’instructions de vote aux émetteurs concernés.
116. Comme l’admet la mise en cause, il résulte au surplus des termes du plan de contrôle opérationnel transmis aux contrôleurs que certains points de contrôle existants ont été renforcés et que de nouveaux points de contrôle ont été ajoutés aux fins de « contrôle de la fusion du référentiel d’AG dans GISProxy », « contrôle manuel de chaque position client dans la base comptable [...] », « contrôle de sur/sous-voting » et « réception et vérification d’un reporting compréhensif de l’IT sur le nombre total de swifts reçus et leur intégration dans le système ». Selon les déclarations formulées par la responsable des risques de la société X lors de son audition en cours de contrôle :
« Ces contrôles ont évolué à l’aune des incidents [d’avril et mai 2018] », ce qui confirme que le plan de contrôle opérationnel en vigueur à l’époque des faits reprochés était insuffisant.
117. Au regard de ces éléments, il apparaît que les fonctions de contrôle interne de premier niveau de la société X ont fait une appréciation erronée du niveau de risque associé au processus de décompte des instructions de vote, de sorte que le constat de la notification de griefs à cet égard est vérifié.
118. S’agissant du contrôle des risques de deuxième niveau, la mise en cause explique qu’il est effectué par sa fonction Risk au sujet de laquelle la charte du contrôle interne du groupe Y précitée précise qu’elle est « en charge de l’organisation et de la supervision du dispositif global de maîtrise des risques auxquels le Groupe Y est exposé »
« Incluant notamment « le risque opérationnel ».
119. Pour remettre en cause la qualité de ces contrôles, la notification de griefs se réfère à la cartographie des risques de la mise en cause. Plus précisément, le rapport de contrôle de l’AMF sur lequel s’appuie la notification de griefs relève à cet égard : « Le risque d’erreur dans le décompte des instructions de vote, avec un impact sur le quorum de l’AG, est [...] bien recensé. En revanche, la mission de contrôle observe que les « Key Risk Indicators » de la cartographie attribuent la mention « très structuré » (sur une échelle allant de « très structuré », « globalement structuré », « moyennement structuré » à « peu structuré ») concernant les procédures et les contrôles de ces risques. ».
120. La cartographie des risques versée au dossier révèle pourtant que la mention « très structuré » se rapporte à une section intitulée « Outsourcing ». Cette mention apparaît ainsi liée au processus d’externalisation de tâches informatiques à des tiers, et non à l’évaluation des risques relatifs à l’activité de traitement des instructions de vote.
121. La notification de griefs n’est, en conséquence, pas fondée à reprocher à la fonction de contrôle des risques de deuxième niveau de la société X une appréciation erronée du niveau de risque associé au processus de décompte des instructions de vote.
122. Ensuite, la notification de griefs remet en cause les politiques et procédures de la société X en matière de gestion des risques liés à l’activité de traitement des instructions de vote de la société X, ainsi que l’organisation de son dispositif entre les différentes fonctions concernées sans expliquer pour autant en quoi ces politiques et procédures ne seraient pas conformes aux textes applicables.
123. En outre, les pièces du dossier établissent que le contrôle des risques liés à l’activité de traitement des instructions de vote en assemblées générales est partagé entre d’une part, la fonction Conformité de la société X, qui est responsable de l’organisation et de la supervision du dispositif de maîtrise du risque de non-conformité pour la gestion des conflits d’intérêts et la protection des intérêts des clients, et d’autre part, sa fonction Risk, qui est responsable de l’organisation et de la supervision du dispositif global de maîtrise des risques notamment opérationnels pour le processus de vote, et que ces deux fonctions interagissent régulièrement pour coordonner leurs travaux. Or, une telle organisation des contrôles des risques n’apparaît pas contraire aux textes applicables en l’espèce.
124. La notification de griefs vise également les articles 322-39 et 322-40 du règlement général de l’AMF au soutien de ce sous-grief, mais ne précise pas en quoi les agissements du RCSI de la société X s’inscriraient en violation de ces dispositions réglementaires.
125. Aucun des éléments relevés dans la notification de griefs ne permet donc de retenir un manquement relatif aux politiques et procédures et à l’organisation des dispositifs de gestion des risques liés à l’activité de traitement des instructions de vote de la société X.
126. Enfin, il est établi, et non contesté par la mise en cause, que sa fonction Risk réalise sa mission de contrôle sur le processus de vote en assemblées générales à une fréquence annuelle. La mise en cause justifie cette périodicité par la saisonnalité de la tenue des assemblées générales, qui sont concentrées sur le deuxième trimestre de chaque année.
127. Si la concentration des assemblées générales à cette période est certes avérée, avec sept cent une des neuf cent trente assemblées générales traitées en 2018 par la mise en cause entre avril et juin, il convient néanmoins de souligner que la fréquence des assemblées générales n’est pas nécessairement annuelle puisqu’un même émetteur peut organiser plusieurs assemblées générales, ordinaires et extraordinaires, au cours de la même année.
128. La fréquence annuelle de ces contrôles apparaît en outre manifestement insuffisante au regard des nombreux incidents de votes survenus en avril et mai 2018 en lien avec les assemblées générales de quarante-quatre émetteurs.
129. Il s’ensuit que la société X ne disposait pas de mécanismes de contrôle interne appropriés mis en œuvre de façon suffisamment récurrente par rapport au risque réel d’erreur de décompte des instructions de vote.
130. Les autres reproches de la notification de griefs, tirés de l’absence de participation de la fonction Risk de la mise en cause à l’étude d’impact datée de juillet 2018 et au mémorandum du 11 septembre 2018, desquels la notification de griefs ne tire pas de conclusions, sont indifférents.
131. Par ailleurs, la circonstance invoquée par la société X que son dispositif de contrôle soit calqué sur celui du groupe auquel elle appartient, lequel a été validé par les régulateurs compétents, n’exclut pas que des défaillances puissent être constatées dans la mise en œuvre de ce dispositif et n’a, en conséquence, aucune incidence sur la caractérisation des manquements.
132. Il résulte de la combinaison de ces éléments que la société X, en faisant une appréciation erronée du niveau de risque associé au processus de décompte des instructions de vote en assemblée générale et en ne disposant pas de mécanismes de contrôle interne appropriés mis en œuvre de façon suffisamment récurrente, a manqué à ses obligations issues des articles 313-2 du règlement général de l’AMF (équivalent à l’article 22.2 a) du Règlement délégué 2017/565), 23.1 du Règlement délégué 2017/565 et 322-16, 4° du règlement général de l’AMF et que, en ne mettant pas en place une organisation appropriée minimisant le risque de perte des droits liés aux instruments financiers de ses clients du fait de négligences, elle a méconnu ses obligations issues de l’article 313-13, 5° (devenu 312-6, 5°) du règlement général de l’AMF, de sorte que ce sous-grief est caractérisé.
Sur le sous-grief relatif au dispositif d’audit interne
133. La fonction d’audit interne de la société X, qui est incarnée par l’inspection générale de Y, est présentée par la charte du contrôle interne de Y en ces termes : « L’Inspection Générale intervient en contrôle indépendant de troisième niveau afin d’évaluer les processus de gouvernance, de management des risques et de contrôle. [...] /
L’Inspection Générale [...] intervient en menant : / des missions d’assurance donnant lieu à l’émission de constats et de recommandations [également appelées missions générales], / des missions dites spéciales afin d’établir les faits et responsabilités suite à des opérations suspectes ou frauduleuses, / des missions d’étude et de recherche, visant à évaluer le plus en amont possible les risques ou menaces auxquels le Groupe pourrait être exposé. ».
134. La charte de l’inspection générale de Y ajoute : « L’Inspection Générale intervient de manière indépendante dans l’ensemble des entités du Groupe Y et dans tous les domaines. / Son périmètre d’intervention recouvre par conséquent l’ensemble des activités et des risques de toutes les entités du Groupe, y compris les filiales, financières ou non, répertoriées dans l’univers auditable, ainsi que les activités externalisées conformément aux exigences réglementaires. ».
135. Il résulte de ces éléments que l’inspection générale de Y a vocation à évaluer les procédures de contrôle et de gestion des risques liés à toutes les activités des filiales du groupe.
136. Il est cependant établi par les éléments du dossier, et non contesté par la mise en cause, que le programme d’audit annuel de la fonction d’audit interne de la société X depuis 2016 n’inclut pas le contrôle des procédures opérationnelles de traitement des instructions de vote en assemblées générales. Au demeurant, si la société X se prévaut de son absence de pouvoir décisionnel sur le programme d’audit de l’inspection générale de Y, elle n’en demeure pas moins débitrice d’obligations professionnelles en matière d’audit interne conformément aux textes applicables.
137. Or, au vu des nombreux incidents de sur-voting et de sous-voting intervenus en avril et mai 2018, il est également avéré que les procédures de contrôle interne en matière de traitement des instructions de vote en assemblées générales ont été défaillantes et que ces défaillances n’ont pas été détectées en amont par la fonction d’audit interne de la société X. Cette dernière a en effet audité la chronologie et l’origine de ces incidents uniquement dans le cadre de la mission spéciale effectuée du 12 juillet au 29 août 2018, soit postérieurement à la survenance des incidents de votes précités.
138. Il résulte de l’ensemble de ce qui précède que la fonction d’audit interne de la mise en cause a échoué à assurer la cohérence et l’efficacité du contrôle du traitement des instructions de vote et l’adéquation des procédures s’y rapportant.
139. Ainsi, le manquement de la société X aux exigences des articles 322-40, 2° du règlement général de l’AMF pour les années 2016 et 2017, et 24 du Règlement délégué 2017/565 pour l’année 2018, est-il caractérisé.
140. En revanche, le recensement des incidents de votes et de leur impact sur les assemblées générales relevaient de la compétence de la fonction de contrôle des risques de deuxième niveau et non de la fonction d’audit interne, de telle sorte que la critique de la notification de griefs concernant la teneur des travaux de l’inspection générale de Y n’est pas justifiée. Au surplus, la notification de griefs n’expose pas en quoi la circonstance que la fonction d’audit interne de la société X n’ait pas été informée par sa fonction de gestion des risques au sujet des trois assemblées générales supplémentaires détectées dans son rapport daté du 21 février 2019 serait de nature à établir une méconnaissance des textes applicables.
4. Sur le grief relatif à l’absence de conservation d’un enregistrement du service de traitement des instructions de vote en assemblées générales.
141. Il est fait grief à la société X de ne pas avoir conservé un enregistrement exploitable de toutes les données informatiques relatives au traitement des instructions de vote en assemblées générales de ses clients actionnaires au porteur en 2016 et 2017, et par là même de ne pas avoir permis à l’AMF d’exercer pleinement sa mission de contrôle du respect par la mise en cause de ses obligations professionnelles, en méconnaissance de l’article L. 533-10, II, 6° du code monétaire et financier.
142. La mise en cause conteste ce grief. Elle soutient qu’elle n’était pas soumise à une obligation légale ou réglementaire de conservation d’un enregistrement relatif à son activité de traitement des instructions de vote et ajoute que les textes visés par la notification de griefs ne prévoient pas qu’elle serait tenue de conserver un enregistrement de toutes les données relatives au service fourni. A cet égard, elle se prévaut de recommandations du CESR (Committee of European Securities Regulators) de 2007, de l’annexe I du Règlement délégué 2017/565 et d’un communiqué de presse de l’AMF daté du 5 octobre 2018 sur des propositions de modifications législatives ou réglementaires concernant le vote en assemblées générales préconisant notamment que « tout vote par procuration et par correspondance fasse l’objet d’un horodatage et donne lieu à une confirmation électronique de réception ». Elle souligne en outre que le texte visé par la notification de griefs au soutien de ce manquement, issu de la transposition de la Directive MIF 2 du 3 janvier 2018, est inapplicable aux faits qui lui sont reprochés.
143. La société X affirme avoir néanmoins conservé un enregistrement des données informatiques relatives aux votes de ses clients aux assemblées générales de 2016 et 2017 grâce au logiciel GISProxy, qui permet selon elle de conserver l’historique de l’ensemble des données de base traitées pour chaque assemblée générale, et, à titre de preuve, se prévaut d’échantillons d’extractions informatiques versés en annexes de ses observations en réponse au rapport de contrôle et à la notification de griefs.
4.1. Sur les textes applicables
144. Les faits reprochés, qui se sont déroulés en 2016 et 2017, doivent être examinés à la lumière des textes alors applicables, sous réserve de l’application rétroactive d’éventuelles dispositions moins sévères entrées en vigueur postérieurement.
145. L’article L. 533-10, 5° du code monétaire et financier, dans sa rédaction en vigueur du 28 juillet 2013 au 2 janvier 2018, dispose que : « Les prestataires de services d'investissement doivent : / [...] / 5. Conserver un enregistrement de tout service qu'ils fournissent et de toute transaction qu'ils effectuent, permettant à l'Autorité des marchés financiers de contrôler le respect des obligations du prestataire de services d'investissement et, en particulier, de toutes ses obligations à l'égard des clients, notamment des clients potentiels ; [...] ».
146. Ces dispositions ont été modifiées par l’ordonnance n°2016-827 du 23 juin 2016 relative aux marchés d’instruments financiers dans le cadre de la transposition de la Directive MIF 2, qui a introduit une distinction entre les sociétés de gestion de portefeuille et les autres prestataires de services d’investissement aux I et II de l’article L. 533-10 du code monétaire et financier, applicable à compter du 3 janvier 2018. Elles figurent ainsi désormais, pour les prestataires de services d’investissement, à l’article L. 533-10, II, 6° du code monétaire et financier visé par la notification de griefs mais dont les dispositions n’apparaissent pas moins sévères que celles de l’article L. 533-10, 5° du même code, de sorte qu’il n’y a pas lieu d’en faire une application rétroactive.
4.2. Sur l’examen du grief
147. L’article L. 533-10, 5° du code monétaire et financier institue une obligation générale de conservation d’un enregistrement de tout service fourni et de toute transaction effectuée par les prestataires de services d’investissement visant l’ensemble des données liées au service ou à la transaction en cause.
148. Ainsi qu’il a été exposé ci-avant au titre de l’examen de la compétence de la commission des sanctions, la société X est soumise, dans le cadre de son activité de traitement des instructions de vote en assemblées générales relevant de la TCC, aux obligations légales et réglementaires des prestataires de services d’investissement.
149. La circonstance, relevée par la mise en cause, que le texte applicable au titre de ce grief résulte de la transposition en droit français de la directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d'instruments financiers, complétée par la directive d’application 2006/73/CE de la Commission du 10 août 2006 ayant fait l’objet de recommandations du CESR en 2007 concernant la liste non exhaustive des obligations minimales d’enregistrement, lesquelles ne mentionnent pas d’obligation d’enregistrement des données relatives au traitement des instructions de vote, est sans incidence sur la portée générale de l’obligation prévue à l’article L. 533-10, 5° du code monétaire et financier précité.
150. De même, l’annexe I du Règlement délégué 2017/565, invoquée par la société X pour critiquer le bien-fondé du grief, est indifférente à la présente analyse. En effet, ce règlement, non visé par la notification de griefs, a vocation à compléter la Directive MIF 2 et ne prévoit pas de dispositions moins sévères en matière de conservation des enregistrements, de sorte qu’il ne peut être appliqué rétroactivement. En tout état de cause, conformément à l’article 72 de ce Règlement, la liste minimale des enregistrements que doivent conserver les entreprises d’investissement en fonction de la nature de leurs activités s’entend sans préjudice de toute autre obligation en la matière découlant d’un autre texte législatif.
151. Mais en l’espèce, il ressort du dossier que la société X conservait l’historique des instructions de vote transmises par ses clients actionnaires au porteur en vue des assemblées générales, y compris pour les années 2016 et 2017, pour lesquelles elle a produit des échantillons d’extractions informatiques et offert de produire l’ensemble des votes transitant par ses systèmes. Il n’est pas contesté que les données en cause permettent d’identifier l’émetteur par son code ISIN, de même que l’actionnaire, le nombre de ses droits de vote dont dispose ce dernier, la date et l’heure de ses votes et la date d’éventuelles annulations de votes.
152. Ainsi, alors même que l’environnement informatique dans lequel ces informations ont été traitées, lequel a été modifié en permanence par l’effet notamment des mises à jour imposées par l’évolution des techniques, n’aurait pas été précisément reconstitué pour chaque jour de la saison des assemblées générales des années 2016 et 2017, la société mise en cause doit être considérée comme ayant satisfait aux obligations qu’elle tient de l’article L.533-10, 5°, cité ci-dessus.
153. Par suite, le grief tiré de la méconnaissance de ces dispositions n’est pas caractérisé.
SANCTION ET PUBLICATION
154. Les manquements retenus à l’encontre de la société X dans le cadre de son activité de traitement des instructions de vote en assemblées générales ont trait au défaut de professionnalisme et de soins dans la facilitation de l’exercice des droits de vote de ses clients, aux insuffisances des moyens matériels et humains affectés à cette activité et à des défaillances de son dispositif de reporting, de contrôle interne, de conformité et d’audit interne.
155. Ces manquements se sont déroulés entre 2016 et 2019.
156. L’article L. 621-15 du code monétaire et financier, dans sa rédaction en vigueur depuis le 5 décembre 2015, non modifiée dans un sens moins sévère sur ce point, dispose que : « La commission des sanctions peut, après une procédure contradictoire, prononcer une sanction à l'encontre des personnes suivantes : / a) Les personnes mentionnées aux 1° à 8° [...] du II de l'article L. 621-9, au titre de tout manquement à leurs obligations professionnelles définies par les règlements européens, les lois, règlements et règles professionnelles approuvées par l'Autorité des marchés financiers en vigueur, sous réserve des dispositions des articles L. 612-39 et L. 612-40 ; [...] ».
157. L’article L. 621-9, II du code monétaire et financier, dans sa rédaction en vigueur depuis le 19 décembre 2015, non modifiée dans un sens moins sévère sur ces points, dispose que : « L'Autorité des marchés financiers veille également au respect des obligations professionnelles auxquelles sont astreintes, en vertu des dispositions législatives et réglementaires, les entités ou personnes suivantes ainsi que les personnes physiques placées sous leur autorité ou agissant pour leur compte :
1° Les prestataires de services d’investissement [...] agréés ou exerçant leur activité en libre établissement en France [...]
2° Les personnes autorisées à exercer l'activité de conservation ou d'administration d'instruments financiers mentionnées à l'article L. 542-1 ; [...] ».
158. En vertu du III de l’article L. 621-15 du code monétaire et financier, dans sa rédaction en vigueur entre le 5 décembre 2015 et le 10 décembre 2016 : « Les sanctions applicables sont : / a) Pour les personnes mentionnées aux 1° à 8° [...] du II de l'article L. 621-9, l'avertissement, le blâme, l'interdiction à titre temporaire ou définitif de l'exercice de tout ou partie des services fournis, la radiation du registre mentionné à l'article L. 546-1 ; la commission des sanctions peut prononcer soit à la place, soit en sus de ces sanctions une sanction pécuniaire dont le montant ne peut être supérieur à 100 millions d'euros ou au décuple du montant des profits éventuellement réalisés ; les sommes sont versées au fonds de garantie auquel est affiliée la personne sanctionnée ou, à défaut, au Trésor public ; [...] ».
159. Modifié par la loi n°2016-1691 du 9 décembre 2016, le III a) de l’article L. 621-15 du code monétaire et financier, dans sa version en vigueur depuis le 11 décembre 2016, non modifiée dans un sens moins sévère sur ce point, dispose que : « III. - Les sanctions applicables sont : / a) Pour les personnes mentionnées aux 1° à 8° [...] du II de l'article L. 621-9, l'avertissement, le blâme, l'interdiction à titre temporaire ou définitif de l'exercice de tout ou partie des services fournis, la radiation du registre mentionné à l'article L. 546-1 ; la commission des sanctions peut prononcer soit à la place, soit en sus de ces sanctions une sanction pécuniaire dont le montant ne peut être supérieur à 100 millions d'euros ou au décuple du montant de l'avantage retiré du manquement si celui-ci peut être déterminé ; les sommes sont versées au fonds de garantie auquel est affiliée la personne sanctionnée ou, à défaut, au Trésor public ; [...] ».
160. Il en résulte que la société X encourt une sanction disciplinaire et, en sus ou à la place, une sanction pécuniaire d’un montant maximum de 100 millions d’euros.
161. Le III ter de l’article L. 621-15 du code monétaire et financier, dans sa rédaction en vigueur depuis le 11 décembre 2016, définit comme suit les critères à prendre en compte pour déterminer la sanction : « Dans la mise en œuvre des sanctions mentionnées aux III et III bis, il est tenu compte notamment :
- de la gravité et de la durée du manquement ;
- de la qualité et du degré d’implication de la personne en cause ;
- de la situation et de la capacité financières de la personne en cause, au vu notamment de son patrimoine et, s’agissant d’une personne physique de ses revenus annuels, s’agissant d’une personne morale de son chiffre d’affaires total ;
- de l’importance soit des gains ou avantages obtenus, soit des pertes ou coûts évités par la personne en cause, dans la mesure où ils peuvent être déterminés ;
- des pertes subies par des tiers du fait du manquement, dans la mesure où elles peuvent être déterminées ;
- du degré de coopération avec l’Autorité des marchés financiers dont a fait preuve la personne en cause, sans préjudice de la nécessité de veiller à la restitution de l’avantage retiré par cette personne;
- des manquements commis précédemment par la personne en cause ;
- de toute circonstance propre à la personne en cause, notamment des mesures prises par elle pour remédier aux dysfonctionnements constatés, provoqués par le manquement qui lui est imputable et le cas échéant pour réparer les préjudices causés aux tiers, ainsi que pour éviter toute réitération du manquement ».
162. Les manquements de la société X à ses obligations professionnelles sont multiples et revêtent une particulière gravité dès lors qu’ils concernent des incidents de votes ayant affecté quarante-quatre assemblées générales représentant 4,7% du total des assemblées générales traitées par la mise en cause en 2018 et qu’ils ont eu pour effet de vicier le vote d’une résolution.
163. Ces manquements sont d’autant plus graves que la société X n’a pas informé spontanément ses clients actionnaires au porteur des incidents de votes d’avril et mai 2018 ayant conduit à la transmission erronée de leurs instructions aux émetteurs concernés. La mise en cause a déclaré à cet égard lors de son audition par le rapporteur : « Notre priorité était de rétablir à 100% les droits de nos clients actionnaires. Nous avons décidé de ne pas les informer pour plutôt informer les émetteurs et leurs centralisateurs et corriger les chiffres. Il n’y avait pas lieu de prévenir les actionnaires puisqu’ils n’avaient souffert d’aucun préjudice. Nous avions néanmoins prévu une communication sur demande ». Ainsi, comme le relève la notification de griefs, un seul des dix-neuf clients affectés par les incidents de votes a obtenu, à sa demande, des informations sur l’impact du traitement de ses instructions de vote de la part de la mise en cause.
164. Il convient également de prendre en considération le rôle clé de la société X dans la chaîne de transmission des votes, alors qu’en sa qualité de conservateur des titres de ses clients actionnaires au porteur, elle était la seule à connaître la position éligible de ses clients, de même que leurs instructions de vote.
165. En revanche, il ne ressort pas du dossier, et il n’est pas allégué, que la mise en cause aurait réalisé des gains ou évité des coûts du fait des manquements qui lui sont reprochés, non plus que ses clients actionnaires au porteur auraient subi des pertes.
166. Il sera en outre tenu compte du fait que la société X a spontanément informé l’AMF des incidents survenus en 2018, dans toute leur étendue, et qu’elle a apporté sa pleine collaboration à la mission de contrôle. Elle a également déclaré avoir mis en place des mesures de remédiation en lien avec les griefs reprochés, telles que des correctifs des insuffisances informatiques révélées par la présente affaire, des plans de contrôle interne et de gestion des risques renforcés, le recrutement de deux personnes supplémentaires au sein de l’équipe opérationnelle chargée du traitement des instructions de vote et l’investissement de 500 000 euros aux fins d’installation d’une nouvelle version de GISProxy.
167. Par ailleurs, la mise en cause a déclaré que son résultat brut d’exploitation sur le territoire français en 2019 s’élevait à 80,9 millions d’euros, incluant 900 000 euros de pertes pour ses seules activités de traitement des instructions de vote et de centralisation des assemblées générales.
168. En considération de ces éléments, il est prononcé à l’encontre de la société X une sanction pécuniaire d’un million d’euros.
169. La société X sollicite l’absence de publication de la décision ou, à tout le moins, l’anonymisation de la décision sans en exposer les raisons.
170. La publication de la présente décision n’est ni susceptible de causer à la personne mise en cause un préjudice grave et disproportionné, ni de nature à perturber gravement la stabilité du système financier ou encore le déroulement d’une enquête ou d’un contrôle en cours. Elle est donc ordonnée sans anonymisation.
PAR CES MOTIFS,
Et ainsi qu’il en a été délibéré par M. Jean Gaeremynck, président de la 2ème section de la commission des sanctions, par Mme Sophie Schiller et MM. Christophe Lepitre et Lucien Millou, membres de la 2ème section de la commission des sanctions, en présence de la secrétaire de séance, la commission des sanctions :
- prononce à l’encontre de la société X une sanction de 1 000 000 € (un million d’euros) ;
- ordonne la publication de la présente décision sur le site Internet de l’Autorité des marchés
financiers et fixe à cinq ans à compter de la date de la présente décision la durée de son maintien en ligne de manière non anonyme.