Playbooks compliance

Pour qui : compliance officers chez les tenants VitaKYC + équipe Customer Success VitaKYC. Objectif : standardiser les procédures critiques pour satisfaire LCB-FT, BCT, AMF, BaFin, IRS et GDPR.

---

Playbook 1 · Génération et transmission d’un STR (Suspicious Transaction Report)

Déclencheur : alerte aml.alert.created ou aml.transaction.alert de haute sévérité + revue compliance confirmée.

1.1 Workflow

1.2 Délais légaux

Juridiction	Délai de déclaration
Tunisie (CTAF)	Sans délai, dès suspicion confirmée (loi 2015-26 art. 115)
France (TRACFIN)	Sans délai, télédéclaration via ERMES
UE (6AMLD)	Sans délai
US (FinCEN SAR)	30 jours calendaires max depuis détection
UAE (FIU goAML)	Sans délai

1.3 Contenu minimal du STR (vérifier AVANT transmission)

• Identité complète de la personne physique ou morale suspecte
• Lien avec la base cliente (externalID + KYC case)
• Nature de l’opération suspecte (description factuelle)
• Montants, devises, dates précises
• Comptes impliqués (IBAN / BIC)
• Counterparties impliquées
• Typologie (terrorisme, blanchiment, fraude, corruption, évasion fiscale…)
• Narrative qualitative (pourquoi c’est suspect)
• Pièces jointes (screenshots transactions, captures, justificatifs)
• Agent déclarant + date

1.4 Rédaction de la narrative

Règle des 5 W : Who, What, Where, When, Why suspicious.

Ton : factuel, neutre, pas de jugement — c’est à l’autorité d’interpréter. Éviter evidently, clearly, obviously.

Exemple de narrative :

Le compte TN59 1000 1234 5678 9012 3456 au nom de ACME Trading SARL (RNE 1616343A) a reçu, entre le 14/04/2026 et le 20/04/2026, quatre virements SWIFT en provenance de sociétés établies en juridictions non-coopératives (BVI, Panama) pour un total de 847 320 USD. Ces versements sont suivis, dans les 24 h, par des virements sortants vers un compte d’une société établie à Dubaï dont le bénéficiaire effectif déclaré est un ressortissant russe listé sur l’OFAC SDN depuis le 05/03/2024 (SDN-45692). Ce comportement de type pass-through, incohérent avec le profil client déclaré (importation de textile), justifie le présent signalement.

1.5 Génération automatique via VitaKYC

# API REST — génération goAML XML
curl -X POST https://api.vitakyc.io/v1/aml/str \
  -H "Authorization: Bearer $TOKEN" \
  -d '{
    "case_id": "<kyc_case_uuid>",
    "alert_ids": ["alert_uuid_1","alert_uuid_2"],
    "authority": "CTAF",
    "narrative": "<texte>",
    "transaction_refs": ["tx_001","tx_002"]
  }'

# Retourne un draft à valider en back-office
# Après validation : transmission via canal autorité

1.6 Archivage

• XML STR + accusé de transmission → WORM 10 ans (obligation LCB-FT).
• Hash SHA-256 du XML dans la table str_report.xml_object_key.
• Relation parent-enfant avec le dossier KYC d’origine.

1.7 Interdiction de tipping off

⚠️ Il est formellement interdit d’informer le client faisant l’objet d’un STR (loi organique 2015-26 art. 121 en Tunisie, GAFI R.21). Le back-office VitaKYC masque le statut « STR filed » dans les vues accessibles au staff commercial du tenant ; seuls les rôles compliance_officer et admin y accèdent.

---

Playbook 2 · Préparation d’un audit BCT

Déclencheur : demande de contrôle BCT (annoncé 15 j à l’avance ou inopiné).

2.1 Pièces à préparer (délai standard 48 h)

Pièce	Source VitaKYC	Action
Dossiers KYC échantillonnés	kyc_case + documents	Export PDF signé par cas
Workflow KYC documenté	Cahier des charges + FormDef active	Imprimer / envoyer lien
Preuves screening AML	aml_screening + aml_hit	Rapport attestation signée
Rapports batch screening des 12 derniers mois	aml_batch + rapports PDF	Export ZIP
STR transmis + accusés	str_report	Export + attestations transmission
Politique LCB-FT interne du tenant	fourniture tenant	—
Matrice de conformité circulaires BCT	VitaKYC (cahier des charges)	—
Preuves de formation du personnel	tenant	—
Piste d’audit WORM	audit_event	Export SIEM + hash chain prouvable
Rapports FATCA déposés IDES	tcr_declaration + AD	Export

2.2 Rituels

• J-15 : revue de complétude documentaire avec le compliance officer.
• J-7 : dry-run avec l’équipe — simulation de questions BCT type.
• J-1 : impression / transmission des pièces dans le format attendu.
• J : présence du compliance officer + CSM VitaKYC (option) pour questions techniques.
• J+5 : envoi des compléments éventuels.

2.3 Questions BCT type à préparer

1. « Montrez-moi le parcours KYC d’un client X et les critères d’acceptation automatique » → démo temps réel dans le back-office + lien vers Form Designer version publiée.
2. « Comment garantissez-vous l’intégrité des listes sanctions ? » → pipeline d’ingestion documenté + preuves de fraîcheur aml_list_last_ingested_seconds_ago.
3. « Quelle est votre couverture PEP ? » → fournisseur + périmètre + exemple de match.
4. « Prouvez qu’un dossier rejeté en 2024 ne peut pas avoir été modifié a posteriori » → piste d’audit hash chain + attestation Ed25519.
5. « Quel est le taux de faux positifs de votre screening ? » → métriques dashboard compliance.

---

Playbook 3 · Data breach (GDPR art. 33 / 34)

Déclencheur : incident SEV-1 confirmé avec exposition ou suspicion d’exposition de données personnelles.

3.1 Les 72 heures — timeline

Temps	Phase	Action
H+0 → H+1	Détection	Confirmation de l’incident
H+1 → H+3	Containment	Isolement + gel des écritures
H+3 → H+24	Investigation	Forensics + scope (qui, quoi, volumétrie)
H+24 → H+60	Notification (interne + régulateur)	Notification CNIL / INPDP obligatoire avant H+72 (GDPR art. 33)
H+36 → H+60	Notification clients / tenants	Par mail + attestation
H+60 → H+168	Remediation	Correctifs, communication, preuve
H+72 → H+96	Notification personnes concernées	Obligatoire si risque élevé (GDPR art. 34)

⚠️ La fenêtre de 72 heures pour notification CNIL / INPDP (art. 33 GDPR) court à partir de la confirmation de l’incident, pas de sa simple détection. Documenter l’horodatage précis de cette confirmation.

3.2 Checklist (les 24 premières heures)

• Containment : isoler les systèmes affectés, geler les écritures sur les tables concernées.
• Preserve evidence : snapshot DB + exports logs, stockés offline chiffrés.
• Assess scope : qui est impacté ? combien de records ? quel type de données ? (PII, PCI, sensibles au sens RGPD art. 9).
• Préqualifier : notification CNIL obligatoire si risque pour les droits et libertés des personnes.
• Désigner le DPO comme interlocuteur officiel externe.
• Mettre en place un channel #breach-YYYYMMDD limité au need-to-know.
• Journalisation obligatoire de chaque décision dans un registre d’incident RGPD (art. 33-5).

3.3 Notification CNIL (France) / INPDP (Tunisie) / régulateur local — modèle

Tunisie — INPDP : formulaire en ligne, délai recommandé 72 h (loi organique n°2004-63 + décret 2008-3026).

France — CNIL : téléservice CNIL notifications, délai impératif 72 h, ou documenter l’impossibilité motivée.

UE : art. 33 GDPR.

Modèle de contenu : description de l’incident, nature des données concernées, volumétrie, conséquences probables, mesures prises ou envisagées, coordonnées DPO.

3.4 Notification aux personnes concernées (art. 34)

Obligatoire si risque élevé. Communication claire et transparente en FR + AR pour MENA :

• Ce qui s’est passé, quand.
• Quelles données sont concernées.
• Conséquences possibles pour la personne.
• Mesures que la personne peut prendre (changer mot de passe, surveiller ses comptes).
• Mesures que VitaKYC a prises.
• Coordonnées du DPO.

---

Playbook 4 · Gestion d’un hit sanctions confirmé (true positive)

Déclencheur : un aml_hit sur liste sanctions (OFAC SDN, UN 1267, EU consolidated, HMT, BCT local) est revu et confirmé comme vrai positif.

4.1 Actions immédiates (T + 0 à T + 2 h)

1. Gel administratif : mettre le subject_id en statut blocked dans VitaKYC.
   • Empêche nouvelles opérations si transaction monitoring intégré.
   • Ne pas débloquer sans autorisation écrite du compliance officer.
2. Blocage des comptes liés : notification au core banking via webhook aml.subject.blocked → le core banking applique les restrictions.
3. Constat écrit dans le dossier : source de la liste, date mise à jour, numéro de référence (ex : SDN-45692).
4. Information des parties prenantes internes uniquement (tipping-off interdit) :
   • Compliance officer (lead).
   • Juridique.
   • Direction générale si client important.
   • Pas de communication au client.

4.2 Actions à 24-72 h

1. Déclaration CTAF / TRACFIN / FIU obligatoire dans les meilleurs délais.
2. Vérification FBI (si US-nexus) pour clarifier le périmètre des restrictions.
3. Documentation : dossier complet avec captures, emails, décisions.

4.3 Actions à moyen terme

• Si la personne est retirée de la liste (delisting) → dégel possible mais pas automatique. Revue manuelle obligatoire.
• Rapport régulier au régulateur si la relation est gelée > 6 mois.
• Formation de rappel au personnel (tipping-off et procédure).

---

Playbook 5 · Gestion des erreurs ICMM FATCA (IRS 8008 / 8009 / 8011)

Déclencheur : l’IRS notifie une erreur sur une déclaration FATCA précédemment transmise par la DGI.

5.1 Codes d’erreur IRS ICMM (Publication 5189)

Code	Signification	Action requise
8001	Fichier non lisible	Regénérer + redéposer en FATCA 1 (réémission directe)
8008	Donnée en doublon	Investiguer : FATCA 1 envoyé 2 fois OU FATCA 1 déposé après FATCA 3 avant fin fenêtre DGI→IRS. Annuler avec FATCA 3 puis réémettre FATCA 1 dans la fenêtre suivante.
8009	Incohérence MessageRefId / DocRefID	Corriger l’unicité → FATCA 2 (correction sans annulation) si possible, sinon FATCA 3 + FATCA 1.
8011	Enregistrement à annuler introuvable	FATCA 3 pointe un DocRefID inexistant → vérifier chaînage, relancer depuis état propre.
8012	Montant hors plage	FATCA 4 (modification autres cas) avec valeur corrigée.

5.2 Workflow de correction automatique dans VitaKYC

5.3 Règle du chaînage DGI (crucial)

⚠️ Pour une procédure FATCA 3 (annule) + FATCA 1 (réémet), la déclaration FATCA 1 de réémission doit être déposée APRÈS la date d’envoi DGI→IRS de la déclaration FATCA 3 (sinon l’IRS verra un doublon, erreur 8008).

Le calendrier type de la DGI annonce 5 envois à l’IRS dans l’année (15 sept, 16 oct, 31 oct, 15 nov, 15 déc). VitaKYC calcule automatiquement la fenêtre correcte et retarde la déclaration FATCA 1 de réémission si nécessaire.

5.4 Archivage et reporting

• Toute notification ICMM est loguée dans tcr_ides_acknowledgement (kind=irs_notification) avec irs_error_code.
• Un rapport mensuel est disponible pour le compliance officer : nb de corrections FATCA 2 / 3 / 4 du mois.

---

Playbook 6 · Demande d’accès RGPD (Data Subject Access Request — DSAR)

Déclencheur : une personne concernée exerce son droit d’accès / rectification / effacement / portabilité.

6.1 Accusé de réception

Dans un délai de 30 jours (art. 12-3 GDPR), le tenant doit :

1. Identifier la personne (vérification d’identité — un KYC rapide).
2. Périmètre : quelles données ? quel tenant ?
3. Réponse en FR (ou AR / EN selon demande) :
   • Finalités du traitement.
   • Catégories de données.
   • Destinataires ou catégories.
   • Durée de conservation.
   • Droits (rectification, effacement, limitation, opposition).
   • Source des données (si non collectées auprès de la personne).
   • Existence de décisions automatisées (scoring KYC).

6.2 Implémentation VitaKYC

# Export complet des données d'une personne
curl -X POST https://api.vitakyc.io/v1/privacy/dsar \
  -H "Authorization: Bearer $TOKEN" \
  -d '{
    "subject_identifier": { "type": "national_id", "value": "09876543" },
    "action": "export",
    "format": "json_zip",
    "include": ["kyc","aml","tcr","audit_excerpts","form_submissions"]
  }'
# Retourne une URL signée vers un ZIP chiffré

Actions possibles : export, rectify, erase, restrict_processing.

6.3 Conflit avec obligations légales

Important : le droit à l’effacement ne prime pas sur les obligations de conservation LCB-FT (10 ans minimum). Dans ce cas :

• Les données KYC/AML/TCR sont pseudonymisées (retrait du nom et email, conservation du hash).
• Une note au dossier indique le motif légal de conservation.
• La personne est informée que l’effacement complet interviendra à l’issue du délai légal.

---

Playbook 7 · Revue annuelle compliance interne

Fréquence : annuelle minimum (recommandée trimestrielle pour grandes banques).

7.1 Périmètre

• Volumétrie KYC / AML / TCR de l’année.
• Taux d’auto-approbation, taux de faux positifs, taux de faux négatifs (détectés a posteriori).
• Incidents sécurité et data breaches.
• STR générés et suivis des retours autorité.
• Nouveaux workflows publiés (Form Designer).
• Mises à jour des listes AML, changements réglementaires.
• Formation du personnel.

7.2 Livrable : rapport annuel

Généré automatiquement depuis les données VitaKYC (compliance-report-svc) sous forme PDF signé, avec :

• Synthèse exécutive (3 pages).
• KPI détaillés (10 pages).
• Incidents & remédiations (variable).
• Plan d’action année suivante (proposé par compliance officer).

---

8. Responsabilités RACI

Tâche	Compliance officer tenant	Agent back-office	Tech tenant	VitaKYC CSM	VitaKYC DPO
Revue alerte AML	A/R	R	—	C	—
Rédaction STR	A	R	—	C	—
Transmission STR	A/R	—	—	—	—
Préparation audit BCT	A/R	C	C	C	—
Data breach — notification CNIL	A	—	C	C	R
Correction FATCA post-IRS	A	R	—	C	—
DSAR — traitement	A/R	R	—	C	C

Légende : R responsable, A accountable, C consulté, I informé.

---

9. Contacts utiles

Tunisie

• CTAF — Commission Tunisienne d’Analyses Financières : contact@ctaf.gov.tn
• BCT — Direction des normes : +216 71 xxx xxx
• INPDP — Instance Nationale de Protection des Données Personnelles : contact@inpdp.nat.tn
• DGI — FATCA — Unité des recoupements, 25 Avenue Kheireddine Pacha, 1073 Tunis
• RNE — interop@e-rne.tn, M. Tarek Dhifi, +216 70 248 162

France / UE

• TRACFIN — ERMES : ermes.tracfin.finances.gouv.fr
• CNIL — notifications breach : cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
• AMF / ACPR — référents locaux par la fonction conformité

États-Unis

• IRS FATCA Help desk : fatca.helpdesk@irs.gov (publications 5124, 5189)
• FinCEN — SAR BSA eFiling : bsaefiling.fincen.treas.gov

---

Document vivant · à réviser annuellement + après chaque évolution réglementaire majeure.