De nombreuses entreprises technologiques américaines considèrent encore que la conformité avec l’Office of Foreign Assets Control (OFAC) ne s’applique qu’aux transactions. Mais une récente mesure d’application de la loi à l’encontre d’une FinTech américaine met en évidence le risque de cette hypothèse. L’infraction n’était pas liée à l’exécution de transactions, à la détention d’actifs de clients ou au traitement de paiements – elle découlait de la fourniture d’une assistance à la clientèle.
En décembre 2025, les régulateurs américains ont annoncé un règlement de 3,1 millions de dollars après avoir déterminé que la société FinTech avait fourni une assistance technique à des utilisateurs situés en Iran, une juridiction soumise à des sanctions globales. Pendant plus d’un an, le personnel du support client a répondu à des centaines de demandes d’utilisateurs iraniens et, dans certains cas, a suggéré des solutions de contournement qui ont aidé ces utilisateurs à continuer à accéder aux services. En vertu de la réglementation de l’OFAC, cette assistance est considérée comme une exportation de services interdite.
Cette mesure d’application envoie un signal clair aux entreprises FinTech, SaaS et aux plateformes numériques : La conformité OFAC s’étend au-delà du code, de l’infrastructure et des flux de paiement.
Ce que les employés disent, recommandent et dépannent a également de l’importance. Dans un environnement d’assistance globale et permanente, le risque de sanction est désormais au cœur des décisions opérationnelles quotidiennes.
Key Takeaways
- Le respect des règles de l’OFAC s’applique aux services, et pas seulement aux transactions. L’assistance technique, le dépannage et les conseils fournis aux utilisateurs dans les juridictions sanctionnées peuvent être considérés comme des exportations de services interdites en vertu des réglementations de l’OFAC, même si aucun mouvement de fonds n’a lieu.
- Les équipes d’assistance à la clientèle présentent un risque réel en matière de sanctions. Les services d’assistance, l’assistance par courrier électronique, les FAQ et les équipes d’escalade peuvent créer des violations lorsque des conseils permettent aux utilisateurs de contourner les contrôles géographiques ou les contrôles fondés sur les sanctions.
- Les sociétés FinTech et SaaS américaines restent entièrement dans le champ d’application. Agir en tant que plateforme, fournisseur d’outils ou couche d’infrastructure ne limite pas l’exposition à l’application de la loi, et la conformité à l’OFAC doit s’étendre à l’ensemble de l’organisation.
- Les conditions d’utilisation ne suffisent pas. Pour être efficace, la conformité à l’OFAC nécessite une formation, des règles d’escalade et des contrôles qui empêchent les employés de faciliter les activités sanctionnées.
- Le contrôle continu et la gouvernance sont importants. Le filtrage des parties refusées, soutenu par le logiciel de filtrage de l’OFAC ou le logiciel de filtrage des sanctions, permet aux organisations d’effectuer un contrôle des sanctions de l’OFAC, de conserver l’historique de l’audit et de démontrer une conformité défendable.
Ce qui s’est passé : Décortiquer l’affaire de la société FinTech et sa chronologie
Les mesures d’exécution prises à l’encontre de la société ne découlent pas d’une défaillance unique ou d’une erreur isolée. Elle s’est développée au fil du temps, au fur et à mesure que l’entreprise élargissait sa base d’utilisateurs, s’appuyait sur des échanges avec des tiers et assurait un service d’assistance à la clientèle au-delà des frontières sans avoir mis en place un cadre de conformité avec l’OFAC qui ait fait ses preuves.
La société a été fondée en 2015 et propose des portefeuilles d’actifs numériques non conservés. Bien qu’elle ne détienne pas les fonds des clients ou n’exécute pas de transactions, elle s’appuie sur des bourses tierces intégrées au portefeuille pour réaliser des transactions d’actifs numériques. Du point de vue de la conformité, cette structure a conduit à une hypothèse critique selon laquelle le risque de sanctions incombait principalement aux bourses, et non à l’entreprise elle-même.
Chronologie des événements et des mesures prises par l’OFAC
La séquence ci-dessous montre comment une activité de soutien de routine, non contrôlée, s’est transformée en un manquement important aux règles de conformité de l’OFAC.
| Oct 2017 – Jan 2019 | Le service clientèle de l’entreprise FinTech a répondu à 254 demandes d’utilisateurs qui se sont identifiés comme étant situés en Iran, une juridiction soumise à des sanctions globales, en fournissant une assistance technique qui a permis de poursuivre l’utilisation de la plateforme. |
| Une confiance précoce dans les « conditions d’utilisation | Les restrictions d’accès dépendaient en grande partie de l’autocertification des utilisateurs, sans mécanismes d’application pratiques, ni formation, ni flux de travail pour garantir que les équipes de soutien à la clientèle comprennent ou appliquent les réglementations de l’OFAC en temps réel. |
| Avril – mai 2018 | Un partenaire d’échange tiers a commencé à bloquer les utilisateurs iraniens en utilisant des contrôles basés sur l’IP pour se conformer aux sanctions américaines, et la direction et le personnel de soutien de l’entreprise ont compris que ces restrictions étaient liées aux exigences des sanctions. |
| Mi-2018 | Malgré cette prise de conscience, le personnel du service clientèle a continué à aider les utilisateurs iraniens et, dans au moins 12 cas, a recommandé l’utilisation d’un VPN pour contourner les restrictions basées sur l’IP, des actions que l’OFAC a par la suite qualifiées de flagrantes. |
| Déc 2018 – Jan 2019 | L’entreprise a demandé des conseils juridiques externes et a commencé à réévaluer son approche, mais l’absence d’un programme structuré de conformité à l’OFAC, de règles d’escalade ou de contrôles des parties refusées avait déjà influencé le résultat de l’application de la loi. |
| 16 décembre 2025 | L’OFAC a annoncé un règlement de 3,1 millions de dollars avec la société, dont 2,47 millions de dollars payables dans les 15 jours suivant la signature de la mesure d’exécution, et 630 000 dollars suspendus à l’investissement dans un programme formel de conformité aux sanctions, à la suite de manquements répétés à la conformité de l’OFAC liés à des services d’assistance à la clientèle fournis à des utilisateurs en Iran. |
Ce délai réduit montre clairement où le risque s’est matérialisé : non pas dans la conception du produit, mais dans la manière dont les décisions relatives à l’assistance à la clientèle ont été prises, documentées et gérées.
Pourquoi cela est important pour la conformité avec les règles de l’OFAC
Ce cas montre comment l’exposition aux sanctions peut se développer discrètement dans les opérations quotidiennes. En l’absence de contrôles intégrés, d’historique d’audit et de mesures de protection spécifiques, même des équipes bien intentionnées peuvent créer un risque important en matière de conformité aux règles de l’OFAC. Pour les régulateurs, le problème n’était pas la technologie elle-même, mais la manière dont le service était soutenu, expliqué et activé au fil du temps.
Cette chronologie montre pourquoi les programmes de sanctions modernes doivent aller au-delà des transactions et s’intéresser aux personnes, aux processus et aux systèmes qui soutiennent les utilisateurs mondiaux.
Contenu connexe : Pourquoi les startups doivent-elles consacrer du temps à la conformité du commerce international ?
Défauts de conformité de l’OFAC et leçons tirées de l’expérience
Le raisonnement de l’OFAC en matière d’application de la loi a été cohérent d’un bout à l’autre de l’affaire. Le risque de sanctions est créé par la manière dont les services sont fournis et régis, et pas seulement par ce que fait un produit. Les défaillances ci-dessous montrent où ce risque s’est matérialisé et pourquoi les régulateurs ont considéré que la conduite était passible de sanctions.
1. Traiter l’assistance à la clientèle en dehors du cadre de la conformité OFAC
L’OFAC a déterminé que les interactions d’assistance à la clientèle pouvaient être considérées comme un service réglementé. L’assistance technique, le dépannage et les conseils fournis aux utilisateurs en Iran constituaient une exportation de services interdite en vertu de la réglementation de l’OFAC, même si aucune transaction n’a été effectuée ou aucun actif n’a été détenu.
Les entreprises doivent étendre les attentes en matière de conformité à l’OFAC aux services d’assistance, aux chats d’aide et aux équipes d’escalade, et pas seulement aux paiements ou à l’accès aux plateformes.
2. S’appuyer sur des conditions d’utilisation sans contrôle d’application
L’OFAC a constaté que les restrictions contractuelles seules étaient insuffisantes lorsque les employés n’étaient pas formés, surveillés ou empêchés d’aider les utilisateurs dans les juridictions sanctionnées. L’autocertification ne compensait pas l’absence de contrôles opérationnels. Pour être efficace, la mise en conformité avec les règles de l’OFAC nécessite des processus applicables, et non un langage juridique statique.
3. Permettre l’évasion des sanctions par des conseils de soutien
Dans au moins 12 cas, l’OFAC a qualifié la conduite de flagrante parce que le personnel d’assistance était conscient des restrictions liées aux sanctions et recommandait malgré tout l’utilisation d’un VPN, ce qui permettait aux utilisateurs de contourner les contrôles des sanctions.
Fournir des conseils qui aident les utilisateurs à contourner les restrictions transforme un soutien de routine en une exposition délibérée aux sanctions et sape les réglementations de l’OFAC.
4. Absence de filtrage et d’escalade des interactions liées aux sanctions
L’OFAC a cité l’absence de flux de travail de sélection, d’escalade et d’examen comme une faiblesse essentielle. Le personnel d’appui a été laissé libre de prendre des décisions sensibles en matière de sanctions sans garde-fou, documentation ou supervision.
Le filtrage des parties refusées effectué par les logiciels de filtrage de l’OFAC, les logiciels de filtrage des sanctions ou les outils de recherche de l’OFAC doivent être intégrés dans les flux de travail opérationnels à l’échelle de l’organisation afin de garantir des décisions cohérentes et des pistes d’audit défendables.
Related Content:5 conseils pour les organisations souhaitant se lancer dans la conformité des exportations et le filtrage des parties refusées
5. Sous-estimation des obligations postérieures à l’exécution
Le règlement a imposé des obligations de conformité pluriannuelles car l’OFAC ne considérait pas les violations comme isolées. L’absence de programme structuré a augmenté le risque de récidive.
Les manquements à la conformité de l’OFAC se traduisent souvent par des exigences à long terme en matière de gouvernance, de formation, d’audit et de certification, qui vont bien au-delà de la sanction initiale.
Faites de la conformité OFAC un contrôle opérationnel
Cette affaire montre exactement où se situe le risque de sanctions aujourd’hui. Les manquements à la conformité de l’OFAC ne provenaient pas des paiements ou de la garde, mais des équipes de soutien à la clientèle qui prenaient des décisions non supervisées en matière de conformité, sans filtrage, escalade ou pistes d’audit. Il s’agit désormais d’une priorité claire en matière d’application de la loi.
Pour les FinTech, SaaS et plateformes américaines, la conclusion est simple : la conformité aux sanctions doit être intégrée dans les opérations quotidiennes, et non pas traitée comme une simple case à cocher juridique. Les équipes ont besoin d’outils qui filtrent de manière cohérente, appliquent les flux de travail et documentent la manière dont les décisions sont prises lorsque les régulateurs posent des questions.
Descartes soutient la conformité OFAC en intégrant les contrôles des sanctions directement dans les opérations quotidiennes, afin que les équipes puissent filtrer, escalader et documenter les décisions de manière cohérente grâce à notre portefeuille robuste de solutions de conformité OFAC.
- Filtrage de la partie refusée: Effectuez un filtrage et un re-filtrage précis au fur et à mesure que les listes de surveillance changent afin d’empêcher les parties sanctionnées d’entrer dans les flux de travail.
- Historique du dépistage et de l’audit: Conservez des dossiers défendables qui montrent comment les décisions de sanctions ont été prises lorsque les régulateurs le demandent.
- Workflow du gestionnaire de conformité: Veillez à ce que les questions relatives aux sanctions soient transmises à un échelon supérieur, examinées et résolues au moyen de processus cohérents et documentés.
Réservez une démonstration pour découvrir comment Descartes aide les équipes à rendre opérationnelle la conformité OFAC, à réduire les risques liés aux sanctions et à rester prêtes à l’audit dans toutes les opérations internationales.
Découvrez ce que nos clients disent de Descartes Denied Party Screening sur G2 – une plateforme d’évaluation de logiciels d’entreprise tiers en ligne. En outre, vous pouvez lire ceci le guide essentiel de l’acheteur pour le filtrage des tiers non-autorisées pour vous aider à sélectionner une solution adaptée à vos besoins.
