Tribunal d’arrondissement, 22 novembre 2024

Jugt.n°2527/2024 not.7090/20/CD confiscat. 1x (amende) JUGEMENTSURACCORD AUDIENCE PUBLIQUE DU 22NOVEMBRE 2024 Le Tribunal d’arrondissement de et à Luxembourg,dix-neuvième chambre, siégeant en matière correctionnelle, a rendu le jugement qui suit: Dansla cause duMinistère Publiccontre SOCIETE1.)LUXEMBOURG S.A., inscrite au RCSdeLuxembourgsous le numéroNUMERO1.), établie etayant son siège social àL-ADRESSE1.), ayant élu domicile en l’étude de MaîtreAnnie ELFASSI, -p r é v e n ue- FAITS : Par citation du3 octobre 2024,le Procureur d’Etat près le Tribunal d’arrondissement de et à Luxembourg a requisla prévenuede comparaître à l’audience publique du25 octobre 2024 devant le Tribunal correctionnel de ce siège pour y entendre statuer sur: l’accord par application des articles 563 à 578 du Code de procédure pénale. Maître Merona GEHBRHIWET, avocat à la Cour, en remplacement deMaîtreAnnie ELFASSI, avocat à la Cour,demeuranttous les deuxà Luxembourg, a représentéla société anonymeSOCIETE1.)LUXEMBOURG S.A.sur basede l’article 185 (1) alinéa 3 du Code de procédure pénale. MaîtreMerona GEHBRHIWET confirmaquelasociétéanonymeSOCIETE1.) LUXEMBOURG S.A.maintenait ses reconnaissances des faits commis tels qu’ils résultent de l’acte de l’accord.

2 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale MaîtreMerona GEHBRHIWET ainsi que lereprésentant du Ministère Public,Monsieur Stéphane JOLY-MEUNIER,substitutdu Procureur d’Etat, furent entendus en leurs conclusions. Le Tribunal prit l’affaire en délibéré et rendit à l’audience publique de ce jour, date à laquelle le prononcé avait été fixé, le JUGEMENTq u i s u it : Vula citationà prévenu du3 octobre 2024, régulièrementnotifiéeàla société anonyme SOCIETE1.)LUXEMBOURG S.A., Vu l’accord par application d la loi du 24 février 2015 relative au jugement sur accord du1 er juillet 2024conçu comme suit: Grand-Duché de Luxembourg Grand-Duché de Luxembourg PARQUET DU TRIBUNAL D’ARRONDISSEMENT DE LUXEMBOURG ——————— Not. 7090/20/CD Accord Par applicaton des articles 563 à 578 du Code de procédure pénale Entre: 1.Monsieur le Procureur d’Etat près le Tribunal d’Arrondissement de Luxembourg et 2.SOCIETE1.)Luxembourg S.A., établie et ayant son siège social à L-ADRESSE1.), enregistrée au Registre de Commerce et des Sociétés de Luxembourg sous le numéroNUMERO1.)

3 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale assistée de Maître Annie ELFASSI, avocat à la Cour au barreau de Luxembourg élisant domicile pour les besoins de la présente procédure en l’étude Baker & McKenzie, établie et ayant son siège à L-2450 Luxembourg, représentée pour les besoins de la présenteprocédure par Maître Annie ELFASSI, I.Résumé de la procédure Vu les actes accomplis au cours de l’enquête préliminaire: Cote date document Descriptif du document A01 21.01.2020 Rapport SPJ/EJIN/2020/76770.9/BECL du Service de Police Judiciaire, Section Entraide Judiciaire Internationale A02 26.02.2020 Transmis du Ministère public au SPJ, Section Anti-Blanchiment, aux fins de diligenter une enquête préliminaire du chef des infractions suivantes: -Infractions à l’article 506-1 du Code pénal -Infractions aux articles 3 à 5 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, notamment -Défaut de vigilance à l’égard de la clientèle (articles3, 3-1, 3-2,3- 3) -Défaut d’organisation interne adéquate (article 4) -Obligations de coopération avec les autorités (article 5) suite aux informations recueillies dans une commission rogatoire internationale (réf. 316/19/CRIL) par le Parquet fédéral du Brésil A03 28.02.2020 Transmis du Ministère public au SPJ, Section Anti-Blanchiment, concernant l’intégration dans l’enquête préliminaire de la commission rogatoire internationale 439/19/CRIL délivré par le Parquet fédéral de Brésil A04 11.07.2022 Réquisitoire du Ministère public au juge d’instruction sur base de l’article 24-1 du Code de procédure pénale A05 12.07.2022 Transmis du juge d’instruction au Ministère public après exécution A06 28.09.2023 Transmis du Ministère public à la Police Judiciaire, Section Anti- Blanchiment B01 15.06.2022 1 er Rapport n°SPJ/AB/2022/81425.4/MARDdressé par le Service de Police Judiciaire, Section Anti-Blanchiment, ensemble les annexes: 1. Copie du transmis Not. n° 7090/20/CD du 26 février 2020 et ses annexes 2. Copie de l'échange par courriel entre la Section Anti-Blanchiment et le service des entraides internationales du Parquet Général 3. Copie du transmis Not. n° 7090/20/CD du 28 février 2020 et ses annexes 4. Copie du courriel daté au 4 juin 2020 envoyé par le Parquet du Tribunal d'Arrondissement de Luxembourg à la SectionAnti-Blanchiment avec ses annexes 5. Copie du document intitulé « File Work-flow Account » concernant la sociétéSOCIETE3.)SA 6. Copie du formulaire « Know-Your-Customer » 7. Copie du formulaire « Client Acceptance Committee Know Your Client Form » 8. Copie du formulaire « AML RISK MATRIX » 9. Copie de plusieurs extraits de recherches internet concernant la société SOCIETE3.)SA 10. Copie du formulaire intitulé « KYC QUESTIONNAIRE » daté au 21 mai 2015 11. Copie du formulaire du département de la compliance concernant la sociétéSOCIETE3.)SA

4 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 12. Extrait de l’application « LEXIS DILIGENCE » concernant PERSONNE1.) 13. Copie du formulaire intitulé « KYC QUESTIONNAIRE » daté au 06 avril 2017 14. Copie ducontrat en langue portugaise intitulé « Instrumento particular de contrato de mútuo e outras avenças » 15. Copie du document en langue portugaise intitulé « Acordo coletivo de trabalho 2010/2011 » 16. Copie de la déclaration de la valeur intrinsèque d’actions détenues par PERSONNE1.)en date du 31 décembre 2016 dans la société de droit luxembourgeoisSOCIETE4.)HOLDING II SA 17. Copie des documents du Ministère du Trésor brésilien concernant la déclaration de régularisation fiscale et d’impôts de l’exercice 2017 18. Copie de plusieurs « shareholder agreements » concernant les actions détenues parPERSONNE1.)dans la sociétéSOCIETE4.)HOLDING II SA 19. Copie du contrat en langue portugaise intitulé « Alteração e consolidação do contrato social » 20. Copie de la procuration de la sociétéSOCIETE4.)SA (Suisse) à PERSONNE1.) 21. Copie du document de laSOCIETE5.)LLC (États-Unis) 22. Copie du contrat de vente en langue portugaise daté au 09 août 2013 concernant l’acquisition d’un bien immobilier à laADRESSE2.)(Brésil) 23. Copie de la lettre datée au 26 juin 2018 de la sociétéSOCIETE4.) HOLDING II SA concernant la déclaration de la valeur intrinsèque des actions détenues parPERSONNE1.) 24. Copie du dossier intitulé « Client Identification » 25. Copie du dossier intitulé « Articles of Association / Company Set Up » 26. Copie du dossier intitulé « Board Resolution / Directors Appointment » 27. Copie du dossier intitulé « Account Holders and directors » 28. Copie du dossier intitulé «Shareholders/UBOS » 29. Copie du dossier intitulé « Beneficial Owner Declaration » 30. Copie du dossier intitulé « Client’s instructions » 31. Copie du dossier intitulé « Tax compliance » 32. Copie du dossier intitulé « General terms andconditions » 33. Copie du dossier intitulé « Fee schedule » 34. Copie du dossier intitulé « Power of attorney » 35. Copie du dossier intitulé « MIFID » 36. Copie du dossier intitulé « CRS » 37. Copie du dossier intitulé « FATCA » 38. Copie dudossier intitulé « Pledge agreement » 39. Copie du dossier intitulé « client communication » 40. Copie du bordereau de prélèvement d’espèces du compteNUMERO2.) (SOCIETE3.)SA) pour une somme de 15.000 USD 41. Extrait du fichier EXCEL résumant les mouvements du compte NUMERO2.)de la sociétéSOCIETE3.)SA 42. Extrait du fichier « EX ante screening tool (Eastnet) » 43. Extrait du fichier « Ex post screening tool (OFSAA) » 44. Extrait du fichier «Internal compliance log » 45. Copie de la documentation concernant les 3 virements du compte SOCIETE3.)SA en provenance de comptes dePERSONNE1.)auprès de laSOCIETE6.)etSOCIETE7.)en Suisse 46. Copie de la documentation concernant les 6 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE8.) 47. Copie de la documentation concernant les 2 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE9.)LTD 48. Copie de la documentation concernant les 2 virements du compte SOCIETE3.)SA en provenance de la sociétéSOCIETE4.)HOLDING II SA 49. Copie de la documentation concernant le virement du compteSOCIETE3.) SA en faveur de la sociétéSOCIETE4.)HOLDING II SA

5 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 50. Copie de la documentation concernant le virement du compteSOCIETE3.) SA en faveur de la sociétéSOCIETE10.)LLC 51. Copie de la documentation concernant les 2 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE11.)BV 52. Copie de la documentation concernant les 3 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE12.)CORPORATION (LUXEMBOURG) INC 53. Copie de la documentation concernant les 13 virements du compte SOCIETE3.)SA en faveur du compte brésilien dePERSONNE1.) 54. Copie de la documentation concernant les 4 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE13.) 55. Copie de la documentation concernant les 2 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE14.)LTDA 56. Copie de la documentation concernant les 5 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE15.)SA LUXEMBOURG 57. Copie de la documentation concernant les 6 virements du compte SOCIETE3.)SA en faveur de la sociétéSOCIETE16.)LTDA 58. Copie du dossier intitulé « Checklist » 59. Copie du document en langue anglaise intitulé « Risk Assessement by compliance » 60. Copie du questionnaire KYC daté au 20 avril 2016 61. Copie du document intitulé « Client Risk Pre-Assesment » 62. Copie du document intitulé « Compliance Review Sheet on AML–KYC and MIFID Classification » 63. Copie du questionnaire KYC daté au 06avril 2017 64. Copie des recherches concernant la sociétéSOCIETE17.) TRADING CORP 65. Copie du dossier intitulé « Client Identification » 66. Copie du dossier intitulé « Articles of Association / Company Set Up » 67. Copie du dossier intitulé « Board Resolution / Directors Appointment » 68. Copie du dossier intitulé « SHAREHOLDERS/UBOS » 69. Copie du dossier intitulé « Account Holders and Directors » 70. Copie des dossiers intitulés « Account Opening », « Correspondance » et « Client’sInstructions » 71. Copie du dossier intitulé « Tax Compliance » 72. Copie du dossier intitulé « General terms and conditions » 73. Copie du dossier intitulé « Fee schedule » 74. Copie du dossier intitulé « Power of attorney » 75. Copie dudossier intitulé « Beneficial Owner Declaration » 76. Copie du dossier intitulé « MIFID » 77. Copie du dossier intitulé « CRS » 78. Copie du dossier intitulé « FATCA » 79. Extrait du fichier des mouvements du compte de la sociétéSOCIETE17.) TRADING CORP 80. Copie de la documentation concernant les 5 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE12.) CORPORATION (LUXEMBOURG) INC 81. Copie de la documentation concernant les 5 virements du compte SOCIETE17.) TRADING CORPen provenance de la sociétéSOCIETE4.) HOLDING II SA 82. Copie de la documentation concernant les 17 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE17.) CONSULTORIA EMPRESARIAL LTDA 83. Copie de la documentation concernant les 2 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE18.) (BVI) LIMITED BUSINESS 84. Copie de la documentation concernant le virement du compte SOCIETE17.) TRADING CORPen faveur deSOCIETE19.) SOCIEDADE DE ADVOGADOS

6 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 85. Copie de la documentation concernant les 5 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE20.) GROUP 86. Copie de la documentation concernant les 6 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE14.) LTDA 87. Copie des publications dans le Journal Officiel Brésilien concernant la sociétéSOCIETE14.)LTDA 88. Copie de la documentation concernant les 4 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE21.) ADVOGADOS 89. Copie de la documentation concernant les 5 virements du compte SOCIETE17.) TRADING CORPen faveur de la sociétéSOCIETE22.)SA LUXEMBOURG 90. Extrait du fichier « EX ANTE ALERTS TOOL (EASTNET) » 91. Extrait du fichier « EX POST ALERTS TOOL (OFSAA) » 92. Extrait du fichier « INTERNAL COMPLIANCE LOG » 93. Copie de la documentation bancaire du compte dePERSONNE1.)en nom personnel auprès de l'SOCIETE1.) 94. Extrait du fichier des mouvements du compte dePERSONNE1.) 95. Copie de la documentation concernant les 5 virements du compte de PERSONNE1.) 96. Extrait de fichier intitulé «NUMERO8.)–Internal Compliance Log » 97. Copie du document en langue portugaise intitulé « Termo aditivo ao acordo de colaboração premiada » daté au 20 décembre 2019 98. Copie du document en langue portugaise intitulé « DESPACHO/DECISÃO » daté au 10 février 2020 99. Copie de deux courriels datés au 04 septembre 2013 entrePERSONNE1.) etPERSONNE2.)intitulés « Instruções » et ses annexes 100. Copie de deux courriels datés au 01 avril 2016 intitulés « extrato » de PERSONNE1.)àPERSONNE2.) 101. Copie du courriel daté au 02 mai 2016 intitulé « Contato para abertura de offshore » (Contact pour ouverture de offshore) dePERSONNE1.)à PERSONNE2.) 102. Copie du courriel daté au 07 juin 2016 intitulé « International Company » dePERSONNE1.)àPERSONNE2.)et son annexe 103. Copie du courriel daté au 15 septembre 2016 intitulée «SOCIETE17.)and SOCIETE3.)» dePERSONNE1.)àPERSONNE2.) 104. Copie du courriel daté au 26 septembre 2016 dePERSONNE1.)à PERSONNE2.)intitulé « Indicacao-holding patrimonial » 105. Copie du courriel daté au 04 octobre 2016 dePERSONNE2.)à PERSONNE1.) 106. Copie du courriel en date du 04 novembre 2016 intitulé «PERSONNE1.) » dePERSONNE1.)àPERSONNE2.) 107. Copie du courriel daté au 14 novembre 2016 dePERSONNE1.)à PERSONNE2.)intitulé « PROPOSTASOCIETE18.)598/2016 » et son annexe 108. Copie du courriel daté au 16 décembre 2016 intitulé « Invoice 001 SOCIETE17.)Consultoria » dePERSONNE1.)àPERSONNE2.)et son annexe 109. Copie du courriel daté au 20 juillet 2017 intitulé « Repatriaçao » de PERSONNE1.)àPERSONNE2.) 110. Copie du courriel daté au 28 juillet 2017 intitulé « Pagamento Darf Repatriação » dePERSONNE1.)àPERSONNE2.) B02 16.05.2023 2ème Rapport n°SPJ/AB/2023/81425.9/MARD dressé par le Service de Police Judiciaire, Section Anti-Blanchiment, ensemble les annexes: 1. Copie du transmis C01 du 12 juillet 2022 du Juge d’Instruction Sophie SCHANNES 2. Copie de l’ordonnance C01 du 12 juillet 2022 3. Procès-verbal de notification, de perquisition et de saisie n° SPJ/AB/2022/81425.7/MARD du 09 novembre 2022 4. Procès-verbal de saisie additionnelle n° SPJ/AB/2022/81425.8/MARD du 25 novembre 2022

7 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 5. Copie de la DOS datée au 18 mars 2019 6. Copie du document intitulé « Minutes of the Compliance Follow Up Committee » daté au 17 décembre 2020 7. Copie de la demande d'ouverture du compteNUMERO3.)au nom de PERSONNE1.)auprès deSOCIETE1.) 8. Copie de la documentation KYC 9. Copie del’article en langue portugaise intitulé (en français) « Gouvernement de CEARA signe mémorandum pour l’installation d’une raffinerie de pétrole au ZPE » 10. Copie du casier judiciaire (néant) dePERSONNE1.)des autorités brésiliennes traduit par un traducteur assermenté 11. Copie de la lettre d’un avocat brésilien datée au 18 juin 2021 12. Copie de la lettre d’un avocat américain datée au 22 juin 2021 13. Copie d'un extrait de la recherche dePERSONNE1.)daté au 22 juin 2021 14. Copie de l'extrait de la recherche WEB du nom dePERSONNE1.)daté au 22 juin 2021 15. Copie de l’accord de collaboration entrePERSONNE1.)et les autorités brésiliennes en langue portugaise intitulé « Termo aditivo ao acordo de colaboraçãopremiada » daté au 20 décembre 2019 16. Copie du document intitulé « DESPACHO/DECISÃO » daté au 10 février 2020 17. Copie de la lettre du Juge d’Instruction-directeur auprès du Cabinet d’Instruction du Tribunal d’Arrondissement de et à Luxembourg ayant la référence « 316/19/CRIL E.N.SOCIETE23.)c/PERSONNE1.)» daté au 12 juin 2020 18. Copie de la documentation concernant la déclaration fiscale de PERSONNE1.)pour l’année 2020 19. Copie de la décision de donner son feu-vert à l’ouverture du compte de PERSONNE1.) 20. Copie de la lettre du Juge d’Instruction-directeur auprès du Cabinet d’Instruction du Tribunal d’Arrondissement de et à Luxembourg ayant la référence « 316/19/CRIL E.N. CRI CURITIBA, PARANA (BR) c/ PERSONNE1.)» datée au 23 septembre 2020 21. Copie des transactions par carte de crédit liée au compteNUMERO4.) SOCIETE17.) TRADING CORP 22. Copie du courriel du 27 mai 2019 23. Copie du courriel du 07 novembre 2019 dePERSONNE3.)à PERSONNE4.) 24. Copie du courriel du 27 avril 2020 dePERSONNE5.)àPERSONNE6.)et LEGAL DEPARTMENT 25. Copie du courriel du 02 juillet 2020 deMAIL1.)àMAIL2.) 26. Copie du courriel du 02 septembre 2020 dePERSONNE7.)à PERSONNE5.)etPERSONNE6.) 27. Copie du courriel du 24 septembre 2020 dePERSONNE7.) 28. Copie du courriel du 13 janvier 2021 dePERSONNE2.)àPERSONNE5.) 29. Copie du courriel daté au 24 août 2021 deMAIL1.)àPERSONNE8.) 30. Copie du courriel du 03 février 2022 dePERSONNE2.)àPERSONNE4.) 31. Copie du courriel du 03 mars 2022 dePERSONNE4.)à l’adresseMAIL1.) 32. Copie du courriel du 23 mars 2022 dePERSONNE9.)(Compliance Officer) àPERSONNE4.) 33. Copie du courriel du 05 avril 2022 dePERSONNE2.)àPERSONNE4.) 34. Copie du courriel du 26 avril 2022 dePERSONNE4.)àPERSONNE9.) 35. Copie du courriel du 14 juin 2022 dePERSONNE9.)(Compliance Officer) àPERSONNE4.) 36. Copie du courriel du 18 juillet 2022 dePERSONNE4.)à l’adresse MAIL1.) 37. Copie du courriel du 21 juillet 2022 dePERSONNE2.)àPERSONNE4.) 38. Copie de la version 1.0 de la politique « Compliance Policy and Charter » 39. Copie de la version 10 de la politique « Compliance Policy and Charter » 40. Copie de la version 1.0 de la politique « AML/CFT Policy » 41. Copie de la version 4.5 de la politique « AML/CFT Policy »

8 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 42. Copie la version 1.0 de la politique « Country Risk Rating » 43. Copie laversion 2.5 de la politique « Country Risk Rating » 44. Copie de la version 1.0 de la politique « Internal Governance Charter » 45. Copie de la version 7.1 de la politique « Internal Governance Charter » 46. Copie de la politique « Specialized Committees Charter » 47. Copie de la version 1.0 de la procédure « Client Acceptance Procedure » 48. Copie de la version 5.1 de la procédure « Client Acceptance Procedure » 49. Copie de la version 1.0 de la procédure « Continuous Follow-Up » 50. Copie de la version 4.2 de la procédure « Continuous Follow-Up » 51. Copie de la version 1.0 de la procédure « Cooperation with the Authorities » 52. Copie de la version 3.3 de la procédure « Cooperation with the Authorities » 53. Copie de la version 1.0 de la procédure « Record-Keeping » 54. Copie de la version 4.0 de la procédure « Record-Keeping » 55. Copie de la version 1.0 de la procédure « Procedure on Daily Risk Reporting » 56. Copie de la version 2.4 de la procédure « Procedure on Daily Risk Reporting » 57. Copie de la procédure « Cross-Border Activities Procedure » 58. Copie du document intitulé « Ordonnance de perquisition et desaisie– 7090/20/CD » 59. Copie du document EXCEL concernant les formations AML à partir de 2013 60. Copie des listes de présence des formations AML des années 2013 à 2021 B03 01.07.2024 3ème SPJ/AB/2024/81425.13/MARD, dressé par le Service de Police Judiciaire, Section Anti-Blanchiment, ensemble les annexes: 1.Copie du transmis Not. 7090/20/CD du 28 septembre 2023 2.Copie de la convocation du 30 janvier 2024 envoyée àPERSONNE2.) 3.Procès-verbal d’interrogatoire n° SPJ/AB/2024/81425.11/MARD du 21 février 2024 4.Copie de la convocation du 27 février 2024 envoyée à la banqueSOCIETE1.) 5.Copie de la réquisition de l’interprètePERSONNE10.)et du formulaire « taxe dolmetscher » 6.Procès-verbal d’interrogatoire n° SPJ/AB/2024/81425.12/MARD du 16 avril 2024 C01 03.04.2024 Courrier du cabinet d’avocats Baker McKenzie Extrait du Casier judiciaire II.Lesfaits faisant l’objet de l’accord A)Genèse du dossier: les constatations par le SPJ-EJIN dans le cadre de l’exécution d’une commission rogatoire internationale À la suite du rapport SPJ/EJIN/2020/76770.9/BECL 1 du 21 janvier 2020dressé en marge de l’exécution d’une demande d’entraide internationale en matière pénale, le Ministère public a chargé en date du 26 février 2020, le Service de Police Judiciaire, de procéder à une enquête préliminaire du chef d’ -Infractions àl’article 506-1 du code pénalet -Infractions aux articles 3 à 5 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, notamment •Défaut de vigilance à l’égard de la clientèle (articles 3, 3-1, 3-2, 3-3); 1 Voir Cote A01.

9 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale •Défaut d’organisation interne adéquate (article 4) et •Obligations de coopération avec les autorités (article 5), en se basant sur les documents saisis par les enquêteurs de la Section Entraide Judiciaire Internationale du Service de Police Judiciaire (ci-après «EJIN») dans le cadre de l’exécution de la commission rogatoire internationale (ci-après «CRI») 316/19/CRIL, pour vérifier si (a) tous les professionnels soumis à la loi précitéeavaientrespecté leurs obligations en matière de lutte contre le blanchiment, et (b) de chercher à identifier des personnes résidant sur le territoire luxembourgeois susceptibles d’avoir participé à des opérations de blanchiment. Le 28 février 2020, le Ministère public a transmis la commission rogatoire internationale 439/19/CRIL délivréepar le Parquet fédéral duBrésil au SPJ avec prière de considérer également ces informations dans le cadre de l’enquête préliminaire. B)Contexte de la Commission Rogatoire Internationale 316/19/CRIL D’après la commission rogatoire internationale(«CRI»)316/19/CRIL du 21 mai 2019, délivrée par GALVAO DE CARVALHO Paulo Roberto, Procureur de la République et 13 autres Procureurs de la République auprès du Ministère Public fédéral, Bureau du Parquet Général de la République à Curitiba, Paraná (Brésil), les enquêteurs de la Section EJIN ont exécuté plusieurs ordonnances de perquisition et de saisie, notamment auprès de: -la banqueSOCIETE7.)& CIE (EUROPE) SA (ci-après «SOCIETE7.)»), sise à L- ADRESSE3.)et -la banqueSOCIETE1.)LUXEMBOURG SA (ci-après «SOCIETE1.)»), sise à L- ADRESSE1.), notamment afin de (1) rechercher les comptes dont les personnes physiques/morales suivantes: •PERSONNE1.), •SOCIETE17.) TRADING CORPet •SOCIETE3.)SA. sont/étaient titulaires, mandataires et/ou bénéficiaires économiques, et le cas échéant, de saisir les avoirs et valeurs y inscritset (2) rechercher et de saisir la documentation bancaire, entre autres, les documents d’ouverture/clôture de compte, les notes internes de la banque de type «KYC–Know your customer» ainsi que les copies de correspondance (mail/fax) entre la banque et lespersonnes physiques/morales susmentionnées. Il ressort dela demande d’assistance mutuelle en matière pénale provenant du Ministère Public fédéral du Brésil, qu’il existe suffisamment d’éléments de preuves que les montants, qui ont transité et sont éventuellement maintenus sur les comptes bancaires susmentionnés,

10 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale proviennent directement ou indirectement de crimes de corruption commis au détriment de la société de droit brésilienSOCIETE24.)SA (ci-après «SOCIETE24.)»), dont l’actionnaire majoritaire estl’Etat duBrésil. Lors de l’enquête brésilienne, dénommée «(…)», il a été en particulier démontré que les employés de la zone commerciale deSOCIETE24.)avaient étécorrompusparla société SOCIETE4.)dans le cadre d’opérations d’achat et de vente de pétrole et de produits dérivés, dans la location de réserves de stockage de produits. Il a également étéconstatéque lors des opérations menées par la sociétéSOCIETE24.)relativesà l’achat et vente de produits propres, telsque le diesel, l’essence et le carburéacteur, sur le marché international, la société SOCIETE4.)acorrompu, par l’intermédiaire dePERSONNE1.), le président deSOCIETE4.) à cette époque,des employés deSOCIETE24.). En outre, il a été découvert dans des conversationssauvegardéessur un téléphone portable de PERSONNE1.), saisi auparavant,que ce dernier détenaitdes comptes auGrand-Duché de Luxembourg, plus précisément auprès des banquesSOCIETE1.)etSOCIETE7.),comptes détenussoiten son propre nom, soit au nom dessociétés(offshore) de droit panaméen SOCIETE17.) TRADING CORP etSOCIETE3.)SA. Les comptes auprès de la banque SOCIETE1.)seraient apparemment toujours actifs et porteraient les numéros de comptes n°NUMERO4.)et n°NUMERO2.)et les comptes auprès deSOCIETE7.)seraient apparemment déjà sans utilisation. Il ressort de la CRI que la personne responsable de la gestion de ces comptes est un citoyen portugais résidant au Luxembourg nomméPERSONNE2.). Ilseraitprobable que PERSONNE1.)ait utilisé ces comptes bancaires pour percevoir, dissimuler ou transmettre, hors duregard des autorités brésiliennes, des montants illicites résultant des opérations commerciales entreSOCIETE24.)etSOCIETE4.),rendues possibles par la corruption. En vertu de l’exécution de l’ordonnance, la banqueSOCIETE7.)n’a identifié aucun compte bancaire ou relation d’affaires ouverte il y a dix ans jusqu’au jour de l’exécution de l’ordonnance, à savoir le 16 juillet 2019, pour les personnes physiques et morales visées dans l’ordonnance. Aucun document bancaire ou avoirs en banque n’ont doncpu êtresaisisauprès de la banqueSOCIETE7.). C)Exploitation de la documentation saisie auprès de l’ SOCIETE1.) LUXEMBOURG SA Les enquêteurs de la Section EJIN ont saisi, en date du 16 juillet 2019, les avoirs sur les comptes bancaires suivants auprès de l’SOCIETE1.): •SOCIETE3.)SA (racineNUMERO2.)) -1,23 USD surlecompte courantNUMERO5.); -204.776,69 USD surlecompteNUMERO6.);

11 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale -4.776.502,94 USD répartis selon différentes positions titres de rendement fixe (3.884.666,37 USD) et d’investissements alternatifs (891.836,57 USD). Il existait, à cette date, également deux lignes de crédit au nom de la sociétéde droit panaméen SOCIETE3.)SA, à hauteur totale de 2.863.641,79 USD. •SOCIETE17.) TRADING CORP(racineNUMERO4.)) -3.004,53 USD sur le compte courantNUMERO7.); -291.594,37 USD surlecompteNUMERO6.); -6.985.497,74 USD répartis selon différents portefeuilles d’investissement d’actions (260.321 USD), de rendements fixes (5.678.354,52 USD) et de produits structurés (1.046.822,22 USD). Il existait, à cette date, également une ligne de crédit au nom de la sociétéSOCIETE17.) TRADING CORPà hauteur de 1.917.633,73 USD. En date du 23 septembre 2019, les enquêteurs de la Section EJIN ont saisi la documentation bancaire suivante auprès de l’SOCIETE1.): -1 dossier DIN A4 vert intitulé «CFASOCIETE17.)+SOCIETE3.)»; -1 classeur farde bleu intitulé «ACCOUNTNUMERO8.)PERSONNE1.)»; -1 paquet de documents reliés intitulé «ACCOUNTNUMERO4.)SOCIETE17.) TRADING CORP.»; -1 paquet de documents reliés intitulé «ACCOUNTNUMERO2.),SOCIETE3.)»; -1 stick USB «EMTEC» comprenant les relevés des mouvements, documents d’ouverture de comptes etc. Suite àl’ouverture d’une enquête préliminaire sur base des commissions rogatoires internationales le Service de Police Judiciaire, Section Anti-Blanchiment, a procédé également à des perquisitions et saisies auprès de l’SOCIETE1.)en date du 9 novembre 2022. Lors de la perquisition, il a été constaté que la relation d’affaires entre la banque et les clients visés dans l’ordonnance de la Section EJIN, notamment les sociétésSOCIETE3.)SA et SOCIETE17.) TRADING CORPainsi quePERSONNE1.)étaient toujours en place. En outre, lors de la perquisition, un listing des procédures et politiques internes en matière de lutte contre le blanchiment et le financement du terrorisme a été présenté au SPJ. Lors decetteperquisition auprès deSOCIETE1.), le SPJ a identifié une copie intégrale de tous les documents saisis par la Section EJIN, en date du 16 juillet 2019, dans le cadre de l’exécution de la commission rogatoire internationale émise par les autorités brésiliennes le 21 mai 2019 et plus particulièrement par Monsieur Paulo Roberto GALVAO DE CARVALHO, Procureur de la République et treize autres Procureurs de la République auprès du Ministère Public fédérale, Bureau du Parquet Général de la Républiqueà Curitiba, Paraná (BR) dans le dossier

12 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale référencé «5048954-62.2018.4.04.7000, 5043959 74.2016.4.04.7000», qui a été saisie dans son intégralité. 2 Entre autres, furent saisis les documents concernant une déclaration d’opération suspecte (ci- après «DOS») déposée auprès de la Cellule de Renseignement Financier (ci-après «CRF»), la documentation concernant les politiques et procédures en lien avec la lutte contre le blanchiment de capitaux et le financement du terrorisme (ci-après «LBC/FT»), la documentation concernant la formation des employés deSOCIETE1.)dans la matière de LBC/FT, ainsi que la documentation en relation avec la décision du comité de compliance de garder le client en question, la documentation concernant l’ouverture d’un nouveau compte au nom dePERSONNE1.)y inclus la documentation KYC et les transactions et correspondances concernant les sociétésSOCIETE3.)SA etSOCIETE17.) TRADING CORPainsi que celles en relation avecPERSONNE1.). Le SPJ a notamment analysé la documentation saisie concernant la continuation de la relation d’affaires avec le client, notamment avecPERSONNE1.)et les sociétés de droit panaméen SOCIETE3.)SA etSOCIETE17.) TRADING CORPaprès la déposition de la DOS auprès de la CRF, ainsi que la documentation saisie concernant les obligations professionnelles de SOCIETE1.)(articles 3 à 5 de la loi modifiée du 12 novembre 2004 relative à la LBC/FT). D)Procédures et politiques internes Le SPJ a notamment procédé à l’analyse des procédures et politiques saisies auprès de la banqueSOCIETE1.), dont notamment les procédures et politiques suivantes: 1.Politique «Compliance Policy and Charter» Selon le point 5 de la version 10 de lapolitique, celle-ci a été modifiée 9 fois selon le tableau suivant, dont la première version a été approuvée en date du 21 février 2013: 2 Ladocumentation a étéanalysée en détail dans le rapport SPJ/AB/2022/81425.4/MARD du 15 juin 2022. Nom de la procédure VersionService responsableValidé par en date du LUX-POL-001 Compliance Policy and Charter 10Compliance Board of Directors 09/12/2021 LUX-POL-003 AML/CFT Policy 4.5Compliance Board of Directors 09/12/2021 LUX-POL-008 Country Risk Rating 2.5Compliance Board of Directors 09/12/2021 LUX-POL-017 Internal Governance Charter 7.1Legal Board of Directors 20/06/2022 LUX-POL-067 Specialized Committees Charter 1 LUX-PRO-1003 Client Acceptance Procedure 5.1Compliance Authorized Management14/10/2022 LUX-PRO-1009 Continuous Follow-Up 4.2Compliance Authorized Management08/12/2021 LUX-PRO-1013 Cooperation with the Authorities3.3Compliance Authorized Management08/12/2021 LUX-PRO-1039 Dormant Account 2.3Compliance Authorized Management08/12/2021 LUX-PRO-1148 Record-Keeping 4Compliance Authorized Management08/12/2021 LUX-PRO-1183 Procedure on Daily Risk Reporting2.4Risk ManagementAuthorized Management14/10/2022 LUX-PRO-1225 Cross-Border Activities Procedure1Compliance Management Committee17/01/2022

13 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Version 1.0 de la politique «Compliance Policy and Charter», à cette époque «Compliance Charter» •Objet etportée (point 1 de la politique) Cettepolitiquea pour objet dedéfinirles principes, responsabilités et rôles de la fonction du Compliance au sein de la banque ainsi que sa relation avec la Direction, le Conseil d’Administration et les fonctions commerciales et opérationnelles. La politique fait également référence aux bases légales sur lesquelles elle s’appuie, notamment les circulaires de la Commission de Surveillance du Secteur Financier (ci-après «CSSF») 04/155, 13/563 et 12/552. •Fonction indépendante de la Compliance (point 2.1 de la politique) La fonction indépendante de la Compliance est: -D’identifier et d’estimer le «compliance risk» au sein de la banque; -D’organiser, de coordonner et de structurer les contrôles centralisés en relation avec la Compliance; -De contrôler et d’assurer le monitoring de toutes les mesures prises afin d’atténuer le «compliance risk»; -De présenter en conséquence au Conseil d’Administration et à la Direction, si nécessaire et -D’agir en tant queconseiller en relation avec la compliance au sein de la banque. La fonction Compliance intervient au second niveau de contrôle. •Responsabilités et compétences (point 3 de la politique) D’après la politique, la responsabilité de la Compliance au seinde la banque est définie sur 4 niveaux:

14 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale -Responsabilité du Conseil d’Administration Le Conseil d’Administration (ou le comité délégué par la Compliance) est responsable de définir les principes de la Compliance que la banque est obligée de suivre. Il doit démontrer un engagementclairafin de garantir l’implémentation de la politique appropriée et la gérance relevant du risque compliance. Le Conseil d’Administration doit approuver officiellement la politique de compliance établie par la Direction. L’efficacité de l’implémentation de la politique doit être révisée sur une base annuelle selon un «status report» fourni par la Direction. Le Conseil d’Administration est autorisé de déléguer la responsabilité au comité d’Audit ou à un comité séparé de Compliance, nommé par la Conseil. La politique Compliance doit comprendre une charte Compliance établissant une fonction permanente et indépendante de la Compliance au sein de la banque. Le Conseil d’Administration doit assurer que la Compliance soit autorisée de contacter directement le Chief Executive Officer ou le Conseil d’Administration, si la situation le requiert. -Responsabilité de la Direction («quatre-yeux») La Direction en charge de la gestion journalière de la société est conjointement responsable de l’implémentation de la politique Compliance et de la fonction permanente de Compliance. Un Directeur Exécutif doit être officiellement nommé comme responsable de la Compliance. Son nom doit être communiqué à la CSSF, ainsi que des changes subséquents. La Direction est requise d’évaluer périodiquement l’adéquation de la politique Compliance et de vérifier l’implémentation sans réservation et le suivi par les employés. La politique doit exposer les principaux risques auxquels la banque est confrontée ainsi que les mesures préventives pour atténuer ces risques. Elle doit également comprendre l’établissement d’une fonction permanente du Compliance, une charte Compliance et un programme d’éducation continué à l’attention des employés, confrontés avec des problèmes en relation avec la Compliance. -Responsabilité et compétences de la fonction Compliance Entre autres, la fonction de Compliance est celle d’identifier les risques de compliance auxquels l’institution est exposée et de les évaluer afin de déterminer leur importance et leurs conséquences éventuelles. La classification de ces risques compliancedoit permettre à la Compliance à établir son plan de contrôle basé sur le risque, permettant à utiliser efficacement les ressources de la fonction Compliance.

15 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale La fonction Compliance assure que, pour l’implémentation de la politique compliance, l’institution a des règles qui peuvent servir comme guide pour les employés des différents domaines dans l’exercice de leurs tâches journalières. Ces règles doivent être intégrées de manière appropriée dans les instructions, procédure et contrôles internes pour les domaines directement sous la Compliance. Les domaines qui relèvent typiquement de la Compliance sont l’anti-blanchiment d’argent et le financement du terrorisme,laprévention d’abus de marché etlestransactions personnelles, l’intégrité des instruments financiers du marché, la protection des clients et des intérêts des investisseurs, la protection de données etdusecret professionnel, la prévention etlagérance de conflits d’intérêts, la prévention de l’utilisation du secteur financier par une personne tierce pour dériver des régulations obligatoires et la gérance du risque de la Compliance en relation avec les activités transfrontalières «cross-border». La fonction Compliance centralise toutes les informations concernant des problèmes de compliance (à part d’autres violations de règles, les procédures de non-compliance ou encore les conflits d’intérêts) détectées dans l’institution. La fonction Compliance assiste et conseille la direction autorisée enmatièrede compliance et standards, particulièrement en développant les standards qui pourraient éventuellement avoir un impact sur le domaine de compliance. La fonction Compliance assure la sensibilisation des employés dans l’importance de la Compliance et les aspects relatifs et les assiste dans leurs activités journalières en relation avec la compliance. Dans ce sens, la Compliance développe un programme deformation continue et assure son implémentation. Le «Chief Compliance Officer» est la personne de contact principale des autorités compétentes concernant l’anti-blanchiment d’argent et le financement du terrorisme ainsi que l’abus de marché. Il est aussi responsable de la transmission de toute information ou déclaration aux autorités compétentes. -Responsabilité des gestionnaires opérationnels, des employés et des fournisseurs de services externes Au niveau fonctionnel, la fonction Compliance fournitdu conseilet desservices de monitoring, d’entraînement etdecontrôle. Au niveau opérationnel, la Compliance est responsable de la gestion opérationnelle, de tous les employés et les fournisseurs de services externes, par l’observation de la régulation et lois applicables, ainsi que les politiques, standards et procédures de la banque. Dans ce contexte, il est important de souligner que la gérance opérationnelle,lesemployés et fournisseurs de services externes sont personnellement responsables de l’organisation et la

16 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale gérance de leur secteur commercial et opérationnel dans un sens professionnel et correct, de l’implémentation de la politique compliance dans leurs secteurs opérationnels et commerciaux respectifs et le signalement de quelconque violation de la politique déontologique le plus vite que possible. •Indépendance de la fonction (point 4 de la politique) La Compliance et tous les employés de la fonction Compliance sont indépendants de toute fonction commerciale, administrative ou de contrôle au sein de la banque, afin deleur garantir de pouvoir fournirun travail objectif et libre. L’indépendance est accomplie par un statut organisationnel et d’objectivité: -D’un point de vue organisationnel, la fonction Compliance est hiérarchiquement liée et reporte directement à la Direction. Elle est autorisée à exécuter leur rôle et assurer leurs responsabilités par leur propre initiative. Elle est autoriséeàcontacter le Conseil d’Administration ou le Conseil des Comités. -Afin d’assurer l’objectivité, les employés de la fonction Compliance ne sont pas autorisés de prendre des responsabilitéscommerciales ou opérationnelles dans leur domaine de contrôle. •Permanence de la fonction (point 5 de la politique) La direction est responsable pour l’implémentation d’une fonction permanente de la Compliance au sein de l’institution. Dans ce sens, la Direction désigne officiellement un Compliance Officer, communique son nom ainsi que des éventuels changements, à la CSSF et accorde de ressources humaines et techniques suffisantes afin de pouvoir accomplir les objectifs de Compliance définies. §Version 2.0 à 10.0 de la politique «Compliance Policy and Charter» D’un point de vue global, les versions 2.0 à 10 de la politique « Compliance Policy and Charter » présentent les même grandes lignes décrites dans la version 1.0, sauf de manière plus élaborées et définies. Un des points élaborés à noter est le point 3.2.11 «Reportings» de la version 10 de la politique « Compliance Policy and Charter », divisé selon les points suivants 3.2.11.1 «Ad-hoc reports» et 3.2.11.2 «Periodic reports». Selon le point 3.2.11 «Reportings», le Chief Compliance Officer (ci-après «CCO») rapporte parécrit, demanière régulière, si nécessaire de manièread hoc, à la Direction et au Conseil d’Administration. Ces rapports concernent les informations de toutes les activités effectuées par la fonction Compliance, nouveaux problèmes, lacunes et irrégularités identifiées et le statut de recommandations, problèmes, lacunes et irrégularités identifiés dans le passé et spécifiquement les risques y liés ainsi que laportée d’impact et propose des mesures correctrices ainsi que la position générale des personnes/départements concernés.

17 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Concernant les rapports «ad-hoc» (point 3.2.11.1), en cas de violation de régulationsoude problèmes considérés comme importants ou urgents et qui méritent être escaladés rapidement, le CCO préparead hocun rapport adressé à la Direction et/ou au Conseil d’Administration de l’entité, de quelconque manière considérée appropriée (e-mail, mémo, etc.) pour information et considération. En ce qui concerne les rapports périodiques (point 3.2.11.2), selon l’organisation actuelle de la banque, le CCO présente ses rapports périodiques aux Comités périodiques de Compliance et de Régulation, de manière trimestrielle au Comité de Compliance Spécialisé et au Conseil d’Administration et annuellement pour information à la direction et pour approbation au Comité de Compliance Spécialisé et au Conseil d’Administration. 2.Politique «AML/CFT Policy » Selon le point 11 de la version 4.5 de la politique, celle-ci a été modifiée 8 fois selon le tableau suivant, dont la première version a été approuvée en date du 09 décembre 2013: §Version 1.0 de la politique «AML/CFT Policy» Il a été constaté que la version 1.0 de la politique «AML/CFT Policy» a été approuvée en date du 26 avril 2013, et la version 1.1 en date du 09 décembre 2013. Or, dans le tableau ci-dessus, la version 1.1 fait défaut et la version 1.0 est listée avec unedate d’approbation du 09 décembre 2013. •Legal Framework and Definitions (point 1 de la politique) Le point 1 «Legal Framework and Definitions » établit le cadre légal de la politique en énumérant les lois et règlements applicables au Luxembourg à cette époque et donne des définitionsàcertains mots clés de la politique tels que «the offence of money laundering» et «terrorist financing». •Client Due Diligence Measures (point 2 de la politique) Selon l’article 3 (1) de la loi du 12 novembre 2004, la banque applique les mesures de due diligence au regard de leurs clients comme suit:

18 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale -Au moment de l’établissement d’une relation d’affaires; -En effectuant des transactions ad hoc s’élevant à 15.000 EUR au moins, si la transaction est effectuée en une seule fois ou en plusieurs fois qui semblent liées; -Quand il y a un doute de blanchiment d’argent ou de financement de terrorisme; -Quand il a un doute concernant la véracité de l’information obtenue auparavant lors de l’identification du client. Les circonstances, selon lesquelles la banque applique les mesures de due diligence sont les suivantes: -Identification du client et vérification de leur identité sur base des documents ou informations obtenues par une source fiable ou indépendante, yinclus si applicable, l’identification des représentatifs autorisés et la vérification de leur identité et de leur pouvoir d’agir au nom du client; -Si applicable, identifier le bénéficiaire effectif et prendre les mesures raisonnables afin de vérifier son identité, de manière que le professionnel soit satisfait qu’il connaît le bénéficiaire effectif ainsi que les entités légales, trusts et arrangements légaux similaires, de prendre les mesures raisonnables pour comprendre la propriété et la structure de contrôle du client; -Obtenir des informations quant au but et la nature de la relation d’affaires; -Effectuer une surveillance continue de la relation d’affaires, y inclus un examen minutieux des transactions effectuées au long de la relation d’affaires, y inclus, si nécessaire, la source de fonds afin d’assurer que les transactions effectuées sont cohérentes avec les informations du professionnel sur le client, la relation d’affaires et le profil de risque et d’assurer que les documents ou informations détenues sont à jour. •Risk Analysis (categorization ofSOCIETE1.)’s Clients) (point 2.1.2 de la politique) Les points suivants sont pris en considération dans l’analyse et l’évaluation du risque ML/FT en relation avec la nature du client (RiskMatrix):

19 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Selon l’identification du risque qui dépend de la nature des produits et services offerts, le suivant est à considérer: Selon la politique, l’évaluation du niveau de risque à attribuer à un client est faite avant l’acceptation du client. Dans ce sens, une «Risk Matrix» est établie lors d’une application pour l’ouverture d’un compte et cette matrice est prise en considération lors de l’acceptation du client. Lors de la surveillance de le relation d’affaires, la banque surveille l’évolution du risque et adapte son évaluation basée sur toute variation du risque. Concernant les mesures pour atténuer le risque ML/FT, la banque complète des procédures AML selon une description claire et précise des mesures implémentées pour atténuer les risques identifiés auparavant. Les mesures AML/CFT implémentées comme procéduresdécrivent le suivant:

20 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Selon la politique, la banque pourra ouvrir un compte avant que la vérification de l’identité des personnes concernées a été possible, seulement si les conditions suivantes sont remplies: En ce qui concerne les mesures pour identifier et vérifier l’identité des clients, la banque collecte et enregistre les informations suivantes concernant les clients qui sont des personnes physiques: -Nom etprénom; -Lieu et date de naissance; -Nationalité; -Adresse; -Si applicable, numéro d’identification national officiel. Concernant les clients qui sont des personnes morales: -Nom; -Forme légale; -Siège social et si différent, celle de son lieu principal d’affaires; -Si applicable, le numéro d’identification national officiel; -Exécutifs et directeurs ou personnes ayant des positions similaires (pour des arrangements légaux); -Provisions régulant le pouvoir de la personne légale ou de l’arrangement légal; -Autorisation pour installer un nouveau compte client. L’identité des clients qui sont des personnes physiques est vérifiée au moins par un document d’identité officiel valide issu d’une autorité publique et ayant la signature et photographie du client, tels que le passeport, la carte d’identité ou le permis de résidence du client. La vérification d’identité des clients qui sont des entités légales ou autres arrangements légaux est faite à l’aide d’au moins des documents suivants: -Les statuts d’incorporation les plus récents; -Un extrait récent et à jour du registre de l’entreprise. •Simplified Client Due Diligence Measures (point 3 de la politique)

21 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale En ce qui concerne les mesures simplifiées de due diligence, la banque établit l’obligation de collecter dans toutes les circonstances les informations suffisantes afin de pouvoir établir si oui ou non le client est qualifié pour l’application d’une due diligence simplifiée, consistant au moins à l’identification du client et le monitoring de la relation d’affaires afin d’assurer que ces obligations sont à tout moment réalisées et pour assurer qu’il n’y a pas de suspicion de blanchiment d’argent ou de financement du terrorisme. La banque réduit les mesures de due diligence quand le client est une institution de crédit ou une institution financière sujet à la régulation AML/FT au Luxembourg. •Enhanced Client Due Diligence Measures (point 4 de la politique) La banque applique à ses clients toutes les mesures standards de due diligence et considère, si nécessaire, d’appliquer des mesures supplémentaires d’identification et de vérification de l’identification des clients si la situation présente un risque plusélevé. En addition, la banque fait un effort de faire plus attention aux menaces de blanchiment d’argent et financement du terrorisme qui peuvent surgir des produits ou transactions qui favorisent l’anonymat et prendre des mesures, si nécessaire, pour empêcher leur utilisation pour le blanchiment d’argent ou le financement du terrorisme. De plus, la banque identifie aussi comme PEP (Politically Exposed Person), des associés proches d’un individu qui est chargé de fonctions publiques importantes sur base que la relation avec cet associé est publiquement connue ou s’il y a une raison quelconque de croire qu’une telle relation existe. Les mesures de due diligence renforcées sont les suivantes: •Ongoing Due Diligence (point 5 de la politique)

22 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale La banque effectue une due diligence continue de la relation d’affaires y inclus un examen minutieux des transactions effectuées au long de la relation d’affaires, y inclus, si nécessaire, la source de fonds afin d’assurer que les transactions effectuées sont cohérentes avec les informations sur le client, la relation d’affaires et le profil de risque et d’assurer que les documents ou informations détenues sont à jour. La banque évalue au plus le contexte et le but des transactions, enregistre les résultats de ces examens en écrit et garde ces documents et les met à disposition des autorités compétentes et auditeurs pour au moins 5 ans, nonobstant des périodes plus longues prescrites par autres lois. Le gérant du compte doit notifier toute circonstance au département Compliance pour qu’il puisse analyser l’information fournie du client éventuel et déterminer s’il y a lieu de reporter la transaction suspecte immédiatement à la CRF. La banque a implémenté des procédures et mécanismes pour détecter les clients et les bénéficiaires effectifs sur des listes noires officielles (Name-book). La banque faitparticulièrement attention à toute activité qui semble avoir un lien avec le blanchiment d’argent ou le financement du terrorisme, y inclus des transactions larges et complexes, ainsi que toute transaction inhabituelle n’ayant pas de but économique apparent. En particulier, la banque prend en considération: •Adequate Internal Organisational Measures (point 7 de la politique) Entre autres, la banque prend des mesures adéquates et appropriées afin d’entrainer et à augmenter la conscience des employées concernant les provisions de la loi, notamment:

23 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Ces mesures incluent la participation des employés relevant dans des programmes spéciaux d’entraînement continus. Cet entraînement des employés et programme de conscience incluent: •Obligations To Cooperate With The Authorities (point 8 de la politique) La banque est consciente de l’importance de coopération avec les autorités et les gestionnaires ainsi que les employés, qui sont obligés de coopérer pleinement avec les autorités luxembourgeoises responsables pour la lutte contre le blanchiment d’argent et le financement du terrorisme. Nonobstant leur obligation concernant les superviseurs ou autorités régulatrices respectifs, la banque, ses directeurs et les employés doivent immédiatement et de leur propre initiative:

24 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Versions 1.1 à 4.5 de la politique «AML/CFT Policy» Après une analyse poussée des 9 versions 1.1 à 4.5 de la politique «AML/CFT Policy», il a été constaté que les grandes lignes restent inchangées. Soulignons l’ajout du point 9.1 «Prohibition of Tipping-Off» dans le chapitre 9 «Obligations To CooperateWith The Authorities» à partir de la version 4.2 approuvée en date du 20 mars 2019 par le Conseil d’Administration. Selon la politique, la banque, ses gestionnaires et employés ne peuvent pas divulguer au client en question ou à une partie tierce que l’information a été reportée et fournie aux autorités et qu’une investigation par la CRF pour blanchiment d’argent ou financement de terrorisme est en cours. En addition, une relation d’affaires qui a été sujet d’une transaction suspecte reportée à la CRF, doit être suivie avec une diligence élevée par la banque, et si approprié, en ligne avec les instructions de la CRF. Si de nouvelles suspicions surgissent, la banque reportera une transaction suspecte additionnelle à la CRF. 3.Politique «Country Risk Rating » Selon le point 6 de la version 2.5 de la politique, celle-ci a été modifiée 6 fois selon le tableau suivant, dont la première version a été approuvée en date du 09 décembre 2013:

25 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Version 1.0 de la politique «Country Risk Rating» •Objective (point 1 de la politique) Les régulations au Luxembourg en matière de lutte contre le blanchiment d’argent et le financement du terrorisme et autres juridictions requièrent typiquement que les institutions financières évaluent le risque deblanchiment d’argent selon des facteurs de risque qui incluent le pays, le client, les produits et les services caractéristiques. Le but de cette politique est de résumer la méthodologie de classement des pays selon leur risque de blanchiment d’argent. •Country Money Laundering Risk Rating (point 2 de la politique) Il s’agit d’un classement à quatre niveaux: -Faible -Modéré -Elevé -Très Elevé Les sources proviennent de guides régulatrices qui définissent la puissance du régime régulatrice AML d’un pays basé sur le financement du terrorisme, sanctions, corruption et évasion fiscale:

26 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Ci-dessous les tableaux correspondant aux différents niveaux de risques:

27 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Versions 2.0 à 2.5 de la politique «Country Risk Rating» A partir de laversion 2.0 de la politique «Country Risk Rating», approuvée en date du 14 juillet 2015 par le Conseil d’Administration, la principale source afin de déterminer le risque de pays est le WORLDBANK GOVERNANCE INDEX, qui se présente comme suit:

28 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Selon la version 2.3 de la politique, approuvée en date du 12 décembre 2019 par le Conseil d’Administration, la banque se base sur des listes spécifiques définies par la CSSF et autres autorités compétentes luxembourgeoises afin d’évaluer le risque de pays. Il y a lieu de constater qu’à partirdela version 2.4 de la politique, approuvée en date du 11 décembre 2020 par le Conseil d’Administration, le risque de blanchiment par pays est classifié dans les trois catégories de risque suivantes:«low», «Medium» et «High», alors que selon le point 2 «Country Money Laundering Risk Matrix», la politique décrit toujours une classification de «four-tier risk rating». 4.Politique «International Governance Charter » Selon le point 21 de la version 7.1 de la politique, celle-ci a été modifiée 7 fois selon le tableau suivant, dont la première version a été approuvée en date du 13 novembre 2013: §Version 1.0 de la politique «Internal Governance Charter» •Internal Governance Principles and Guidelines (point 1 de la politique) La banqueSOCIETE1.)poursuit une stratégie basée sur les points suivants:

29 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Dans le sens d’une bonne gouvernance interne,SOCIETE1.)s’engage à s’efforcer des points suivants: •Private WealthManagement («PRIVATE BANKING ») (point 2 de la politique) Selon la politique, le «private banking» est l’activité principale de la banque. Dans ce respect, la gouvernance de la banque doit assurer que la banque a des arrangements sains pour être conforme aux régulations applicables en général et en particulieravec les régulations spécifiques pour le «private wealth management», tels que la lutte contre le blanchiment d’argent et le financement du terrorisme ainsi que les règles MIFID. •Corporate Structure and Organisation (point 3 de la politique) SOCIETE1.)LUXEMBOURG est une subsidiaire entièrement possédée parSOCIETE2.)SA (ci-après «SOCIETE1.)ANDORRA»), à la tête du groupeSOCIETE1.). En même temps, SOCIETE1.)LUXEMBOURG détient 100% deSOCIETE1.)SPAIN, une institution de crédit autorisée en Espagne etSOCIETE25.)LUXEMBOURG, une société d’investissements collectifs. (…)

30 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Afin de gérer le groupe multi-juridictionnel,SOCIETE1.)ANDORRA a installé un «reporting» à deux lignes de responsabilité, généralement connu comme «matrix structure». (…) Au Luxembourg, le groupe a instauré une structure de gouvernance interne basée sur le modèle de «three-lines-of-defence». La première ligne de défense est l’organisation appropriée des activités des unités d’affaires. L’organisation d’SOCIETE1.)assure qu’elle a mis en place des procès effectifs afin d’identifier, évaluer, surveiller, atténuer et reporter sur les risques assumés par la banque. SOCIETE1.)a également développé l’efficacité d’un contrôle interne, généralement connu comme seconde ligne de défense. Afin d’assurer des opérations de manière effective et efficace, des contrôles adéquats de risques, la conduite prudente des affaires, la fiabilitédes informations financières et la conformité avec les lois et régulations. Finalement, la fonction d’audit interne, qui fournit un examen indépendant et une évaluation critique des deux lignes précédentes, est la troisième ligne de défense. Dans ce sens,SOCIETE1.)a installé une structure de «Management Body» et «Key Functions», avec une ségrégation adéquate des fonctions et différents niveaux de responsabilités. Le «Management Body» est structuré comme suit: La structure des comités permet au «Management Body» de traiter de façon concertée la plupart des problèmes qui se posent dans la gestion de la banque. Ci-dessous le «Committees Organisational Framework»:

31 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale •Compliance (point 6 de la politique) Selon le point 6 de la politique, les responsabilités principales des Compliance Officers de SOCIETE1.)sont les suivants: §Version 2.0 à 7.1 de la politique (Internal Governance Charter) Depuis la version 2.0 de la politique, approuvée par le Conseil d’Administration en date du 19 novembre 2014, la banqueSOCIETE1.)ne détient plus 100% dansSOCIETE1.)SPAIN. D’après la version 6.0 de la politique, approuvée en date du 09 septembre 2021 par le Conseil d’Administration, la structure du «Management Body» change comme suit:

32 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale 5.Politique «Specialized Committees Charter » La politique « Specialized CommitteesCharter » est datée de mars 2021 et ne semble avoir qu’une version 1.0 qui est, selon les détails du document, en statut «DRAFT». La politique a pour but de spécifier les rôles du «Risk, audit and compliance committee» et du «Nomination & remuneration committee» de la banque mais ne semble jamais avoir été validée par la Direction ou le Conseil d’Administration. 6.Procédure «Client Acceptance Procedure » Selon le point 6 de la version 5.1 de la procédure, celle-ci a été modifiée 5 fois selon le tableau suivant, dont la première version a été approuvée en date du 09 décembre 2013: §Version 1.0 de la procédure «Client Acceptance Procedure» La version 1.0 de la procédure «Client Acceptance Procedure» (34 pages) décrit en détail les mesures de due diligence des clients, allant de la phase préliminaire du procès d’identification et vérification de l’identité du client et du bénéficiaire effectif, ainsi que l’obtention d’informations concernant le but et la nature de la relation d’affaires jusqu’à la phase de due diligence continue du client. En conformité avec les règles nationales et internationales, l’information sur le client «Know- Your-Customer KYC» a un rôle crucial dans la lutte contre le blanchiment d’argent et le financement duterrorisme. Le gestionnaire des comptes est le responsable principal concernant la connaissance adéquate du client. La banque décrit en détail les procédures concernant les aspects suivants:

33 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale En ce qui concerne l’évaluation de risque, la banque se base sur des facteurs de risques déterminés dans la matrice de risque, dédiée à identifier le profil de risque du client selon leurs caractéristiques et activités économiques. Une attention accrue estattribuée à tout changement dans le comportement du client lors de la mise à jour de la matrice de risque. Il s’agit des facteurs de risque suivants:

34 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Le risque de client détermine la fréquence de mise à jour des informations concernant l’identité du client, notamment tous les ans pour un client de risque élevé, tous les 3 ans pour un client de risque normal et tous les cinq ans pour un client de risquefaible/très faible. •Standard Due Diligence Measures (point 4 de la procédure) En ce qui concerne les personnes physiques, dans un premier temps, le gestionnaire du compte obtient la documentation d’identification et le KYC du client nécessaire pour comprendre son activité et la structure de propriété. La documentation qui doit êtrefournie par le client est une copie d’un document d’identité ou passeport avec une photographie. La copie doit être certifiée par le gestionnaire du compte avec son nom, date et signature. Ci-dessous, la documentation qui doit être signée par le client lui-même: (…) La documentation qui doit être fournie par legestionnaire du compte est la suivante: Concernant les personnes morales, le gestionnaire du compte obtient d’abord une copie d’un document d’identité ou du passeport des directeurs, des représentants ou des bénéficiaires effectifs avecphotographie. Cette copie doit être certifiée par le gestionnaire avec son nom, date et signature. De plus, le client doit fournir une copie du registre commercial, des statuts et des procurations des directeurs ou représentants.

35 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale La documentation qui doit être signée par la personne morale est la suivante: (…) Le gestionnaire du compte doit fournir les mêmes documents que pour une personne physique. La vérification de tout client éventuellement inscrit sur une liste noire est effectuée par le département Compliance avec l’outil NAMEBOOK. La vérification est faite avant l’établissement de la relation d’affaires et la recherche effectuée est sauvegardée et classée dans le dossier du client. Cette tâche considère également la notion de bénéficiaire effectif et parties relayées. Si un match dans l’application NAMEBOOK est détecté, par exemple pour une activité politique, le département de la Compliance effectuera une analyse compréhensive du client et de leurs transactions et informera immédiatement au «Account Opening Committee» afin de décider s’il y a lieu de reporter une transaction suspecte à la CRF. Cette analyse par le département Compliance prend en considération les points suivants: En outre les vérifications dans WORLD-CHECK (NAMEBOOK), le département Compliance doit baser ses reports sur les recherches utilisant des sources publiques (Internet) afin de déterminer la légalité de la source des fonds des clients ainsi que la précisiondes informations fournies. Tout document sera enregistré et classé dans le dossier du client. Dans le cas d’une référence négative identifiée (corruption, fraude, etc.), le département de la Compliance peut refuser l’ouverture d’un compte et informe le «Account Opening Committee» afin de pouvoir immédiatement évaluer le besoin de reporter le client à la CRF. •Enhanced Due Diligence Measures (point 5 de la procédure) En général, dans les cas où le client est classé en risque élevé, la même documentation KYC est à fournir que dans une situation de Due Diligence simplifiée. En addition, la Compliance doit obtenir la documentation suivante du client à risque élevé:

36 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Version 2.0 à 5.1 de la procédure «Client Acceptance Procedure» Après l’analyse des 5 versions 2.0 à 5.1 de la procédure «Client Acceptance Procedure», les grandes lignes restent les mêmes mais sont présentées de manière différente. Un grand chapitre a été ajouté, notamment le chapitre 3 «Roles and Responsibilities», dont les rôles du «relationship manager», «middle office area», «compliance department», «authorized management» et «compliance Sub-committee» sont décrits etdéfinis plus en détail. Il est également à noter que la banque a introduit une checklist afin de pouvoir identifier tout document manquant par le client. 7.Procédure «Continuous Follow-Up » Selon le point 18 de la version 4.2 de la procédure, celle-ci a été modifiée 5 fois selon le tableau suivant, dont la première version a été approuvée en date du 09 décembre 2013: §Version 1.0 de la procédure «Continuous Follow-Up» •Objective (point 1 de la procédure)

37 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Selon la procédure, son objectif est de décrire les procédures de due diligence continue effectuée par la banqueSOCIETE1.)en relation avec les politiques AML/CFT. Cette procédure inclut toutes les vérifications nécessaires des transactions effectuées tout au long de la relation d’affaires avec le client. L’objectif de la due diligence continue consiste dans lavérification si les transactions effectuées par le client sont cohérentes avec les informations que la banque possède du client, de son activité commerciale, de son profil de risque et de la source des fonds. En addition, elle vise à détecter toute structure complexe ou inhabituelle des transactions. •Scope (point 2 de la procédure) La procédure décrit les procédures détaillées effectuées par la banque concernant les aspects suivants: En particulier, le cross-check du donneur ou receveur d’ordre contre des listes noires est effectué en vérifiant le nom dans l’application NAMEBOOK. En utilisant le module «Alerts –Transferts» dans l’application NAMEBOOK, le département Compliance analyse d’une manière journalière les éventuels «match» des donneurs ou receveurs d’ordres de transactions internationales reçues ou envoyées, indépendamment du montant. Tous les matchs de 95% sont analysés de manière journalière. Il s’agit d’un contrôle préventif et le transfert du client ne peut pas être débité ou crédité avant que le département de la Compliance n’a pas fait les vérifications nécessaires pour autoriser la transaction. Dans le cas d’un match positif des personnes, entités ou groupes impliqués dans une transaction ou relation d’affaires, concernant des mesures prohibitives ou restrictives de manière

38 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale financière, le compte et la transaction seront bloqués immédiatement. La Compliance informe le Compliance Committee et une transaction suspecte est reportée sans délai à la CRF. •Reporting of Suspicious Transaction (point 5 de la procédure) Selon la procédure, la loi oblige la banque d’informer la CRF immédiatement de toute activité ou transaction pour laquelle il y a une suspicion en relation avec le blanchiment d’argent. Une fois l’analyse effectuée, l’Account Opening Committee décide conjointement avec le département Compliance s’il y a lieu de reporter la transaction suspecte. La banque n’informera pas le client ou une partie tierce. Selon la procédure, les reports à la CRF doivent comprendre les informations suivantes: Si un report a été effectué à la CRF, aucun compte ne sera rejeté et aucune transaction ne sera autorisée sauf accord verbal ou écrit de la CRF. §Version 2.0 à 4.2 de la procédure «Continuous Follow-Up» A partir de la version 4.0 dela procédure «Continuous Follow-Up», approuvée par la Direction en date du 11 juin 2020, la banque utilise une nouvelle approche, appelée «Oracle Financial Services Analytical Applications» (OFSAA), composée par 4 modules, à savoir: 1.Know-Your-Customer (KYC) 2.Transaction Filtering (TF) 3.Transaction Monitoring (TM) 4.Customer Screening (CS) Selon la procédure, cette application renforce l’engagement de la banque à appliquer le meilleur standard du marché compliance en termes de surveillance de transactions et due diligence du client. 8.Procédure «Cooperation with the Authorities »

39 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Selon le point 5 de la version 3.3 de la procédure, celle-ci a été modifiée 5 fois selon le tableau suivant, dont la première version a été approuvée en date du 07 février2013: (…) §Version 1.0 de la procédure «Cooperation with the Authorities» Ce document décrit les procédures à respecter par la banque dans la communication avec la CRF, surgissant du report d’une transaction suspecte ou toute autre notification nécessaire à l’agence ou à la CSSF dans la coopération dans la lutte contre le blanchiment d’argent et le financement de terrorisme. Consciente de l’importance de la coopération avec les autorités, la banque fait tout effort de répondre dans un délairaisonnable à toute question de la CRF/CSSF. La banque a mis en place un système autorisant à répondre rapidement et de manière complète aux demandes des autorités luxembourgeoises responsables pour combattre le blanchiment d’argent et le financement du terrorisme concernant toute relation d’affairesavec des personnes morales ou physiques maintenues pendant les dernières 5 années. §Version 2.0 à 3.3 de la procédure «Cooperation with the Authorities» Après analyse des 5 versions 2.0 à 3.3 de la procédure «Cooperation with the Authorities», il y lieu de constater un changement majeur à partir de la procédure 3.1 approuvée en date du 07 mars 2019 par «Management Committee». Dans cette procédure, le chapitre 3 «Ground for suspicion» est intégré, notamment la suspicion de blanchiment d’argent et financement du terrorisme, la suspicion d’une infraction commise ou tentée et finalement la suspicion et détection de fraude fiscale. Pour ce dernier, la procédure précise qu’une suspicion pourrait survenir en considération de la personne, la nature ou le but de la transaction en question ainsi que de plusieurs indicateurs tels que l’utilisation non justifiée de sociétés offshore, l’interposition de personnes sans explication de leur utilité, les transactions financières incohérentes, les factures incohérentes, le refus de fournir des justifications, le transfert d’argent à l’étranger et le rapatriement de prêt. En outre, le point 4.3 «Communication Ban–No Tipping Off» est ajouté à la procédure, précisant que la banque n’informe pas le client ou autre partie tierce concernant une déclaration ou demande d’information des autorités. 9.Procédure «Record-Keeping » Selon le point 7 de la version 4.0 de la procédure, celle-ci a été modifiée 3 fois selon letableau suivant, dont la première version a été approuvée en date du 12 avril 2013:

40 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Version 1.0 de la procédure «Record-Keeping» Selon la section 1, en conformité avec l’article 37-1 (6) de la loi du 05 avril 1993 relative au secteur financier, tel que modifié par la loi du 13 juillet 2007 relative aux marchés d’instruments financiers, la banqueSOCIETE1.)est requise de tenir un registre de tous les services que la banque a fourni et de toutes les transactions effectuées afin de permettre à la CSSF de surveiller si la banque est conforme aux obligations MIFID, en particulier à ses obligations envers le client. Dans ce sens, dans le but de ces aspects, la procédure est structurée en six sections: -Section 2 décrit les règles légales etinternes sous lesquelles la procédure a été rédigée; -Section 3 énonce les objectifs de la procédure; -Section 4 définit les rôles et responsabilités des entités, des unités d’affaires et des employés auxquels la procédure s’applique; -Section 5 décrit les registres à maintenir et les activités et procès à effectuer à ce regard; -Section 6 permet le suivi des différentes versions de ce document. §Versions 2.0 à 4.0 de la procédure «Record-Keeping» Après analyse des 3 versions 2.0 à 4.0 de la procédure «Record-Keeping», pas de changement majeur entre les différentes versions n’a été constaté. 10.Procédure «Procedure on Daily Risk Reporting » Selon le point 7 de la version 2.4 de la procédure, celle-ci a été modifiée 5 fois selon le tableau suivant, dont la première version a été approuvée en date du 28 septembre 2016:

41 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale §Version 1.0 de la procédure «Procedure on Daily Risk Reporting » La version 1.0 de la procédure « Procedure on Daily Risk Reporting» est révisée en date du 28 septembre 2016 et n’a pas de date d’approbation. Selon la procédure, l’objectif principal est de détailler la procédure qui assure la surveillance journalière du risque et le report à la Direction. Le but de la procédure est de spécifier la méthodologie journalière utilisée pour assurer que tous les risques qui ont été identifiés sont correctement surveillés et reportés. Pour cette raison, cette procédure s’applique à: -Tout employé impliqué dans quelconque phase de la gérance de risque; -Tout niveau de séniorité au sein de la banque; -Sociétés d’investissement incorporées sous la loi luxembourgeoise et branches étrangères et domestiques, subsidiaires ou offices représentatifs et; -Leurs employés respectifs. «Risk management» n’est pas une activité exclusive pour les professionnels spécialisés dans les fonctions de risque et de contrôle, mais tous les membres de l’organisation doivent être pleinement conscients de leurs responsabilités dans la gérance de risque. §Version 2.0 à 2.4 de la procédure «Procedure on Daily Risk Reporting» Après analyse des 5 versions 2.0 à 2.4 de la procédure «Procedure on Daily Risk Reporting », aucune modification ou changement majeur de la procédure n’a pu être constaté par le SPJ. 11.Procédure «Cross-Border Activities Procedure » Il n’existe qu’une seule version 1.0 de la procédure «Cross-Border Activities Procedure» approuvée en date du 17 janvier 2022 par le «Management Committee». Selon la procédure, le but de celle-ci est d’établir les principes et responsabilités applicables aux services fournis aux clients domiciliés à l’étranger et de définir la procédure de gérance de l’entité concernant le risque de réputation et/ou légal inhérent dans son activité. Cette procédure s’applique à tous les employés de la banqueSOCIETE1.)et spécifiquement à tous les membres qui maintiennent une relation avec les clients, tels que la Direction, les gérants de portefeuilles ou les «private bankers». La procédure s’applique aux voyages d’unenature professionnelle, notamment si des personnes assujetties à cette procédure développent leurs activités dans une juridiction différente que celle de leur lieu de travail.

42 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale Cette procédure s’étend à toutes les juridictions où le groupe développe ses activités, donc cette procédure a une portée globale et il est essentiel que la banque se conforme pleinement avec cette procédure et doit être activement impliquée dans son implémentation et développement. §Approbation des politiques et procédures par le Conseil d’Administration En date du 24 novembre 2022,PERSONNE11.), Head of Legal deSOCIETE1.), a établi un document intitulé «Ordonnance de perquisition et de saisie–7090/20/CD» 3 , concernant les approbations des politiques par le Conseil d’Administration pour la période de 2013 à 2022. Y inclus dans le fichier saisi auprès deSOCIETE1.)lors de la saisie additionnelle, se trouvent les extraits des procès-verbaux du Conseil d’Administration approuvant les différentes versions de politiques. En ce qui concerne les procédures, aucun document récapitulatif n’a été établi, or il a été constaté par le SPJ que les preuves de l’approbation par le Conseil d’Administration figurent dans le fichier saisi. Après analyse des différentes preuves d’approbation, il a été constaté par le SPJ qu’il manque une seule approbation d’une politique, notamment celle de la version 4.0 de la politique «LUX- POL-017 Internal Governance Charter», approuvée en date du 24 avril 2017, selon la politique. Notons que la version 4.0 de la politique fait également défaut dans le document récapitulatif établi par le Head of Legal de la banque. §Formation des employés du service compliance et des gestionnaires du client visé Lors de la perquisition auprès deSOCIETE1.), la banque a mis à disposition au SPJ un document Excel mis à jour avec les membres du service compliance depuis 2013 jusqu’au jour de la perquisition au 09 novembre 2022. (…) A l’heure actuelle, le service compliance compte 3 personnes,PERSONNE12.), PERSONNE13.)etPERSONNE9.). Selon la fiche, la formation AML de ces employés pour l’année 2022 sera organisée durant le mois de novembre 2022. En ce qui concerne les gestionnaires principaux, à savoirPERSONNE2.),PERSONNE4.)et PERSONNE3.), du client viséPERSONNE1.)(y inclus les sociétés offshoreSOCIETE3.)SA etSOCIETE17.)TRADING CORP dont il est bénéficiaire effectif), il a été constaté à l’aide des listes de présence fournies parSOCIETE1.), qu’entre 2013 et 2021,PERSONNE4.)et PERSONNE3.)ont participé à une formation AML annuelle. En ce qui concerne 3 Annexe 58 au rapport SPJ/AB/2023/81425.9/MARD du 16 mai 2023.

43 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale PERSONNE2.), celui-ci a signé les listes de présence des formations AML de 2013, 2015, 2016 et 2017. Précisons quePERSONNE2.)a quittéSOCIETE1.)en date du 14 janvier 2018. Il s’en suit que pour l’année 2014,PERSONNE2.)n’a pas participé à une formation AML. Au regard de tout ce qui précède, il a été constaté qu’à partir de l’année 2013, la banque a établi plusieurs politiques, procédures et formations et les a mis à jour de manièrerégulière. L’analyse des politiques et procédures permet de conclure que la banque est alignée avec les dispositions de l’article 4 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, notamment l’obligation d’organisation interne adéquate. En ce qui concerne les articles 3, 3-1, 3-2, 3-3 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, notamment l’obligation de vigilance à l’égard de la clientèle, l’analyse des politiques et procédures a permis de conclure que les mesures afin d’atténuer au maximum le risque de blanchiment d’argent et le financement du terrorisme ont été prises par la banque, notamment par l’implémentation de plusieurs politiques et procédures telles que«LUX-POL-003 AML/CFT Policy», «LUX- PRO-1003 Client Acceptance Procedure» et «LUX-PRO-1009 Continuous Follow-Up». Or, dans le rapportSPJ/AB/2022/81425.4/MARD du 15 juin 2022, il a été constaté une certaine négligence en relation avec les recherches par la banque des noms sur l’application NAMEBOOK faites lors de certains paiements ainsi que le manque de documentation de preuve (facture, etc.) pour justifier les transferts. En effet, selon la procédure «LUX-PRO-1009 Continuous Follow-Up», «le cross-check du donneur ou receveur d’ordre contre des listes noires est effectué en vérifiant le nom dans l’application NAMEBOOK. En utilisant le module « Alerts–Transferts » dans l’application NAMEBOOK, le département Compliance analyse d’une manière journalière les éventuels « match » des donneurs ou receveurs d’ordres de transactions internationales reçues ou envoyées, indépendamment du montant. Tous les matchs de 95% sont analysés de manière journalière. Il s’agit d’un contrôle préventif et le transfert du client ne peut pas être débité ou crédité avant que le département de la Compliance n’ait effectuéles vérifications nécessaires pour autoriser la transaction. Dans le cas d’un match positif des personnes, entités ou groupes impliqués dans une transaction ou relation d’affaires, concernant des mesures prohibitives ou restrictives de manière financière, le compte et la transaction sera bloqué immédiatement. La Compliance informe le Compliance Committee et une transaction suspecte est reportée sans délai à la CRF.» En outre, selon les constatations du SPJ relatées dans le rapport n° SPJ/AB/2022/81425.4/MARD du 15 juin 2022, il existe une certaine négligence en relation avec les recherches par la banque des noms sur l’application NAMEBOOK faites lors de certains paiements. Il s’agit notamment de paiements vers la sociétéSOCIETE8.)à hauteur de 16.876,11 USD en date du 21 juillet 2017. Il a été constaté que la recherche du nom de la société d’assurances s’est avérée positive, or,PERSONNE14.), compliance officer, a approuvé

44 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale le virement. Pour le prochain paiement au même bénéficiaire de 16.876,11 USD en date du 04 septembre 2018, aucune recherche du nom de l’assurance n’a été effectuée. En outre, concernant les virements sortants des comptes deSOCIETE3.)SA etSOCIETE17.) TRADING CORP en faveur de la société panaméenneSOCIETE12.)CORPORATION (LUXEMBOURG) INC, les recherches sur l’application NAMEBOOK ont été positives, or, PERSONNE14.), compliance officer, a approuvé les virements en justifiant que le résultat « SOCIETE12.)» est classé dans la catégorie de personnes physiques alors que les paiements sont effectués vers une entité légale. Il y a de forts doutes qu’il s’agit dans ce cas d’un nom d’une personne physique et il semble qu’il s’agissed’une fausse catégorisation. Il aurait été approprié pour un compliance officerde faire des recherches supplémentaires et plus approfondies afin de lever tout doute concernant l’entité panaméenne. Il en va de même pour la recherche effectuée pour l’entitéSOCIETE18.)(BVI) LIMITED BUSINESS, acceptée en date du 16 janvier 2017 parPERSONNE14.), compliance officer et celle pour la société SOCIETE4.)SA, acceptée en date du 15 avril 2016 parPERSONNE14.)et par PERSONNE15.)en date du 12 mai 2016. En relation avec lesvirements sortants de 50.040 USD en date du 06 septembre 2013 et un autre virementde 420.040 USD en date du 09 septembre 2013 en faveur de la société SOCIETE9.)LTD (Bahamas), aucune facture n’estcontenuedans la documentation respective. Le lienentrela sociétéde droit panaméenneSOCIETE3.)SAetla sociétébahamienne SOCIETE9.)LTD resteparfaitementinconnu. Le contrat d’acquisition d’un appartement à l’adresseADRESSE2.)(Brésil), faisant l’objet de justificationsdes virementsne fait aucune référence à la sociétéSOCIETE9.)LTD. Il ne peut être exclu qu’il s’agisseici d’une justification mensongère pour effectuer les virements à la société offshore située au Bahamas. Rappelons que le gestionnaire des comptes,PERSONNE2.), a demandé àPERSONNE1.)de lui fournir une copie du contrat, « afin d’éviter des questions au sein du département de la compliance ».» Suite aux interrogatoires, le gestionnaire ainsi que le représentant de la banqueont admisqu’il n’existe aucun lien documenté entre la sociétéSOCIETE3.)SA et la sociétéSOCIETE9.)LTD justifiant l’accord des transactions à hauteur totale de 470.080 USD. De plus, selon le CEO de la banque, les HITS concernant les sociétésSOCIETE12.)etSOCIETE18.)(BVI) LIMITED ne sont pas des HIT officiels relevant des listes de sanctions, mais sont en lien avec des recherches supplémentaires de la banque avec les «(…)» dans le but de calculer le risque réputationnel de la banque. Or, même si les sociétés recherchées ne figurent pas sur des listes de sanctions officielles, mais relèvent des «(…)», ceci aurait mériténéanmoins une recherche plus poussée et documentée par le département de la Compliance, ce qui n’a pas été le cas. A propos du HIT de la sociétéSOCIETE8.)lors de la recherche NAMEBOOK, il ne s’agit pas d’un HIT avec les «(…)», or, aucune recherche supplémentaire n’a été documentée et comprise justifiant la décision du Compliance Officer à cette époque d’accorder le virement et de ne pas escalader le «match» au Compliance Committee.

45 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale D’après l’analyse du SPJ, les doutes quant à un manquement de vigilance à l’égard de la clientèle par la Compliance et le gestionnaire du client se sont concrétisés. En ce qui concerne l’article 5 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, notamment l’obligation de coopération avec les autorités, ilconvient deconstater que la banque a implémenté plusieurs politiques et procédures concernant la coopération avec les autorités compétentes, notamment la politique «LUX-POL-003 AML/CFT Policy» et les procédures «LUX-PRO-1003 Client Acceptance Procedure», «LUX-PRO-1009 Continuous Follow-Up» et «LUX-PRO-1013 Cooperation with the Authorities». Or, il existe des manquements de l’obligation de coopération avec les autorités, notamment le fait d’avoir procédé à une déclaration d’opérations suspectes tardive à la CRF. Des suspicions soulevées parPERSONNE16.)en date du 30 août 2017, Head of compliance à cette époque, d’une éventuelle fraude fiscale liée à des virements de la société offshore passiveSOCIETE17.) TRADING CORP en faveur de la société brésilienneSOCIETE17.) CONSULTORIA EMPRESARIALLTDA, dontPERSONNE1.)est à chaque fois le bénéficiaire effectif, pour, entre autres, des frais de consultations, n’ont été déclarées à la CRF qu’en date du 18 mars 2019, donc 19 mois après le premier soupçon. (Réf: chapitre 7 du rapport n° SPJ/AB/2022/81425.4/MARD du 15 juin 2022) Le fait que la DOS, datée au 18 mars 2019, précise que le premier soupçon concernant les transferts deSOCIETE17.) TRADING CORP versSOCIETE17.) CONSULTORIA EMPRESARIALLTDA est survenu le 29 juin 2018, étant donné quePERSONNE16.), Head of compliance à cette époque, avait soulevé ses doutes déjà en date du 30 août 2017, s’explique par deux hypothèses, à savoir: -une tentative de dissimuler le fait que la Compliance était au courant des transactions douteuses à partir du 30 août 2017; -un non-respect de l’obligation de reporter tout soupçon à l’Account Opening Committee, qui décide en conjonction avec le départementCompliance s’il y a lieu de reporter la transaction douteuse à la CRF, tel que décrit au point 5 de la version 2.0 de la procédure «LUX-PRO-1009 Continuous Follow-Up» en vigueur du 30 septembre 2016 jusqu’au 09 mars 2018 (réf. : point 2.2.7.1 du rapport n° SPJ/AB/2023/81425.9/MARD du 16 mai 2023). Néanmoins, le fait que la banque n’a soumis une DOS qu’en date du 18 mars 2019 alors que les suspicions auraient déjà été survenues, selon la banque, en date du 29 juin 2018 (soit 9 mois après) constitue un manquement de l’obligation de coopération avec les autorités, notamment l’obligation «d’informer sans délai, de leur propre initiative la cellule de renseignement financier (…) lorsqu’ils savent, soupçonnent ou ont « des motifs raisonnables de soupçonner qu’un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme » est en cours, a eu lieu, ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération. Cette déclaration devraêtre accompagnée de toutes les informations et pièces qui ont motivé

46 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale la déclaration» (Article 5 (I) a) de la loi du 12 novembre 2004 relative à la lutte contre le blanchiment et le financement du terrorisme). Suite aux interrogatoires, le représentant de la banque ne peut pas expliquer le délai entre le premier doute de fraude fiscale et la déclaration auprès de la CRF et argumente que le fait d’être impliqué dans un tel schéma de corruption a été plus important que l’évasion fiscale ce qui représente selon lui un complément de l’infraction principale, à savoir la corruption. Or, le doute soulevé par l’ancien CCO,PERSONNE16.), en date du 31 août 2017, était suffisamment justifié et concordant pour effectuer unedéclaration auprès de la CRF. En conséquence, il s’agit d’un manquement de l’obligation de coopération avec les autorités, sinon d’une déclaration d’opérations suspectes tardive. Ayant connaissance de l’historique du clientPERSONNE1.), notamment sa structure de patrimoine opaque impliquant plusieurs sociétés offshores, son implicationsoupçonnéedans le scandale de corruption «(…)», la perquisition de la Section EJIN au sein deSOCIETE1.), la déposition d’une déclaration d’opération suspecte à la CRF, la banque a tout de même décidé de continuer la relation d’affaires avec le client et a donné son feu vert à l’ouverture d’un nouveau compte personnel.La continuation des transferts suspects sans documentation justificative complète,caractérisel’absence d’organisation interne adéquate, notamment en ce qui concerne le fonctionnement et l’efficacité de la Compliance dans l’application des dispositions de lutte contre le blanchiment d’argent implémentées par la banque. Si la banqueavaitdéposé immédiatement, comme la loi le prescrit, une déclaration d’opération suspecte auprès de la CRF lors du premier soupçon de fraude fiscale en août 2017, entraînant une surveillance plus approfondie dePERSONNE1.)par la banque, un lien entre le client de la banque et le scandale «(…)» aurait pu être détecté plus rapidement. III.Qualification juridique des faits faisant l’objet de l’accord SOCIETE1.)Luxembourg S.A.établie et ayant son siège social à L-ADRESSE1.), enregistrée au Registre de Commerce et des Sociétés de Luxembourg sous le numéro NUMERO1.) comme auteur, entant que professionnel soumis à la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, 1.Depuis un temps non prescrit et notamment entre 2013 et janvier 2017 à L-ADRESSE1.), sanspréjudice quant aux circonstances de temps et de lieu plus exactes,

47 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale en infraction aux articles 3 et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard de la clientèle, de sciemment ne pas avoir appliqué, en tant que professionnel, des mesures de vigilance à l'égard de leur clientèle, lorsqu'ils nouent une relation d'affaires, lorsqu'ils concluent, à titre occasionnel, une transaction d'un montant de 10.000 euros au moins, que la transaction soit effectuée en une seule ou plusieurs opérations entre lesquelles un lien semble exister, lorsqu'il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables,lorsqu'il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l'identification d'un client, ces mesures de vigilance comprenant, l'identification du client et la vérification de son identité, sur la basede documents, de données ou d'informations de source fiable et indépendante, l'identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, de telle manière que le professionnel ait l'assurance de connaître leditbénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ; l'obtention d'informations sur l'objet et la nature envisagée de la relation d'affaires et l'exercice d'une vigilance constante de la relation d'affaires, notamment en examinant les transactions conclues pendant toute la durée de cette relation d'affaires et, si nécessaire, sur l'origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu'a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en tenant à jour les documents, données ou informations détenus, en l’espèce, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard de la clientèle, notamment en relation avec les recherches effectuées sur l’application NAMEBOOK au sujet des noms liés à certains paiements ainsi qu’un manque de documentation de preuve (facture, etc.), pour justifier ces transferts, le défaut de vigilance existant, notamment en ce qui concerne a.des paiements effectués vers la sociétéSOCIETE8.)à hauteur de 16.876,11 USD en date du 21 juillet 2017, alors même que la recherche du nom de la société d’assurance s’est avérée positive sur l’application NAMEBOOK, le virement fut approuvé 4 , b.des virements sortants des comptes deSOCIETE3.)SA etSOCIETE17.) TRADING CORPen faveur de la société panaméenneSOCIETE12.)CORPORATION (LUXEMBOURG) INC, alors même que les recherches sur l’application NAMEBOOK ont été positives, les virements furent approuvés en justifiant que le résultat «SOCIETE12.)» est classé dans la catégorie de personnes physiques alors que les paiements sont effectués vers une entité légale, 4 Selon la procédure «LUX-PRO-1009 ContinuousFollow-up», «le cross-check du donneur ou receveur d’ordre contre des listes noires est effectué en vérifiant le nom dans l’application NAMEBOOK. Dans le cas d’un match positif des personnes, entités ou groupes impliqués dans une transaction ou relationd’affaires, concernant des mesures prohibitives ou restrictives de manière financière, le compte et la transaction sera bloqué immédiatement. La Compliance informe le Compliance Committee et une transaction suspecte est reportée sans délai à la CRF.

48 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale c.la recherche effectuée pour l’entitéSOCIETE18.)(BVI) LIMITED BUSINESS, acceptée en date du 16 janvier 2017, et celle pour la sociétéSOCIETE4.)SA, acceptée en date du 15 avril 2016, respectivement en date du 12 mai 2016, d.desvirements sortants de 50.040 USD en date du 6 septembre 2013 et un de 420.040 USD en date du 9 septembre 2013 en faveur de la sociétéSOCIETE9.)LTD (Bahamas), aucune facture n’étant présente dans la documentation respective 5 , 2.Depuis un temps nonprescrit et notamment entre 2017 6 et janvier 2018, notamment le 18 mars 2019 7 , à L-ADRESSE1.), En infraction aux articles 5 (1) a) et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, de sa propre initiative le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg lorsqu’il sait, soupçonne ou a de bonnes raisons de soupçonner qu’un blanchiment ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération, en l’espèce, de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, respectivement en informant tardivement le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg (la CRF) lorsqu’elle savait, soupçonnait ou avait de bonnes raisons de soupçonner qu’un blanchiment ou une tentative de blanchiment était en cours en relation avec les comptes deSOCIETE3.)SA,SOCIETE17.) TRADING CORP et PERSONNE1.), qui a organisé la construction d’une structure de sociétés offshore, d’un côté pour que ses revenus issues des boni reçus de la part deSOCIETE4.)HOLDING II SA soient virés sur le compte de la sociétéSOCIETE17.) TRADING CORP, sous le regard des autorités brésiliennes, et de l’autre côté sans déclarer le compte de la sociétéSOCIETE3.)SA au fisc brésilien, IV.Les faits reconnus par laSOCIETE1.)Luxembourg SOCIETE1.)LUXEMBOURG, établie et ayant son siège social à L-ADRESSE1.), enregistrée au Registre de Commerce et des Sociétés de Luxembourg sous le numéro NUMERO1.) comme auteur 5 A noter que lien de la sociétéSOCIETE3.)SA avec la sociétéSOCIETE9.)LTD reste inconnu. Le contrat d’acquisition d’un appartement à l’adresseADRESSE2.)(Brésil), faisant l’objet de justification des virements ne fait aucune référence à la sociétéSOCIETE9.)LTD. La finalité d’inclure un tel contrat dans la documentation bancaire reste inconnu. Rappelons que le gestionnaire des comptes,PERSONNE2.), a demandé àPERSONNE1.) de lui fournir une copie du contrat, « afin d’éviter des questions au sein du département de la compliance ». 6 PERSONNE16.), Head of compliance, avait soulevé des doutes quantà une fraude fiscale, déjà en date du 30 août 2017. 7 Date de la DOS tardive àla CRF en relation avec les comptes deSOCIETE3.)SA,SOCIETE17.)TRADING et PERSONNE1.).

49 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale entant que professionnel soumis à la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, 1.Depuis un temps non prescrit et notamment entre 2013 et janvier 2017 à L-ADRESSE1.), sanspréjudice quant aux circonstances de temps et de lieu plus exactes, en infraction aux articles 3 et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard de la clientèle, de sciemment ne pas avoir appliqué, en tant que professionnel, des mesures de vigilance à l'égard de leur clientèle, lorsqu'ils nouent une relation d'affaires, lorsqu'ils concluent, à titre occasionnel, une transaction d'un montant de 10.000 euros au moins, que la transaction soit effectuée en une seule ou plusieurs opérations entre lesquelles un lien semble exister, lorsqu'il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables,lorsqu'il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l'identification d'un client, ces mesures de vigilance comprenant, l'identification du client et la vérification de son identité, sur la basede documents, de données ou d'informations de source fiable et indépendante, l'identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, de telle manière que le professionnel ait l'assurance de connaître leditbénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ; l'obtention d'informations sur l'objet et la nature envisagée de la relation d'affaires et l'exercice d'une vigilance constante de la relation d'affaires, notamment en examinant les transactions conclues pendant toute la durée de cette relation d'affaires et, si nécessaire, sur l'origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu'a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en tenant à jour les documents, données ou informations détenus, en l’espèce, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard deses clients PERSONNE1.), respectivementSOCIETE17.) TRADING CORP etSOCIETE3.)S.A. notamment en relation avec les recherches effectuées sur l’application NAMEBOOK au sujet des noms liés à certains paiements ainsi qu’un manque de documentation de preuve (facture, etc.), pour justifier ces transferts, le défaut de vigilance existant, notamment en ce qui concerne e.des paiements effectués vers la sociétéSOCIETE8.)à hauteur de 16.876,11 USD en date du 21 juillet 2017, alors même que la recherche du nom de la société d’assurance s’est avérée positive sur l’application NAMEBOOK, le virement fut approuvé 8 , 8 Selon la procédure «LUX-PRO-1009 Continuous Follow-up», «le cross-check du donneur ou receveur d’ordre contre des listes noires est effectué en vérifiant le nom dans l’application NAMEBOOK. Dans le cas d’un match positif des personnes, entités ou groupes impliqués dans une transaction ou relation d’affaires, concernant des mesures prohibitives ou restrictives de manière financière, le compte et la transaction sera bloqué immédiatement. La Compliance informe le Compliance Committee et une transaction suspecte est reportée sans délai à la CRF.

50 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale f.des virements sortants des comptes deSOCIETE3.)SA etSOCIETE17.) TRADING CORPen faveur de la société panaméenneSOCIETE12.)CORPORATION (LUXEMBOURG) INC, alors même que les recherches sur l’application NAMEBOOK ont été positives, les virements furent approuvés en justifiant que le résultat «SOCIETE12.)» est classé dans la catégorie de personnes physiques alors que les paiements sont effectués vers une entité légale, g.la recherche effectuée pour l’entitéSOCIETE18.)(BVI) LIMITED BUSINESS, acceptée en date du 16 janvier 2017, et celle pour la sociétéSOCIETE4.)SA, acceptée en date du 15 avril 2016, respectivement en date du 12 mai 2016, h.des virements sortants de 50.040 USD en date du 6 septembre 2013 et un de 420.040 USD en date du 9 septembre 2013 en faveur de la sociétéSOCIETE9.)LTD (Bahamas), aucune facture n’étant présente dans la documentation respective 9 , 2.Depuis un temps non prescrit et notamment entre 2017 10 et janvier 2018, notamment le 18 mars 2019 11 , à L-ADRESSE1.), En infraction aux articles 5 (1) a) et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, de sa propre initiative le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg lorsqu’il sait, soupçonne ou a de bonnes raisons de soupçonner qu’un blanchiment ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération, en l’espèce, de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, respectivement en informant tardivement le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg (la CRF) lorsqu’elle savait, soupçonnait ou avait de bonnes raisons de soupçonner qu’un blanchiment ou une tentative de blanchiment était en cours en relation avec les comptes deSOCIETE3.)SA,SOCIETE17.) TRADING CORP et PERSONNE1.), qui a organisé la construction d’une structure de sociétés offshore, d’un côté pour que ses revenus issues des boni reçus de la part deSOCIETE4.)HOLDING II SA soient virés sur le compte de la sociétéSOCIETE17.) TRADING CORP, sous le regard des autorités brésiliennes, et de l’autre côté sans déclarer le compte de la sociétéSOCIETE3.)SA au fisc brésilien. 9 A noter que lien de la sociétéSOCIETE3.)SA avec la sociétéSOCIETE9.)LTD reste inconnu. Le contrat d’acquisition d’un appartement à l’adresseADRESSE2.)(Brésil), faisant l’objet de justification des virements ne fait aucune référence à la sociétéSOCIETE9.)LTD. La finalité d’inclure un tel contrat dans la documentation bancaire reste inconnu. Rappelons que le gestionnaire des comptes,PERSONNE2.), a demandé àPERSONNE1.) de lui fournir une copie du contrat, « afin d’éviter des questions au sein du département de la compliance ». 10 PERSONNE16.), Head of compliance, avait soulevé des doutes quantà une fraude fiscale, déjà en date du 30 août 2017. 11 Date de la DOS tardive àla CRF en relation avec les comptes deSOCIETE3.)SA,SOCIETE17.)TRADING etPERSONNE1.).

51 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale V.La peine A)La peine légale Aux termes de l’article 9 de la laloi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme applicableratione temporis, les infractions à cette loi sont punissables d’une amende de 12.500€ à 5.000.000€. Les deux infractions sont en concours réel, de sorte que par application de l’article 60 du Code pénal, la peine pourra même être élevée au double du maximum. Par application des règles du concours réel, le maximum de l’amende est dès lors de 10.000.000€. Au vœu de l’article 36 du Code pénal, la peine maximale est du double que celle pour les personnes physiques, si elle a été commise par une personne morale. La peine maximale en l’espèce est dès lors une amende de20.000.000€. B)Personnalisation de la peine Eu égard à la gravité des faits, mais également aux circonstances atténuantes tenant aux nombreuses mesures de remédiation prises, il y a partant lieu de condamnerSOCIETE1.) LUXMEBOURG à une amende de250.000€. C)Confiscations La documentation saisie au cours de l’enquête est à confisquer en guise de pièces à conviction. VI.Les frais Il y a lieu de condamnerSOCIETE1.)LUXEMBOURG aux frais de sa poursuite pénale, ces frais étant à liquider par leTribunal d’arrondissement de et à Luxembourg, section correctionnelle. Par application des articles 27, 28, 34, 36,60,66 et 78 du Code pénal, les articles 3, 5 et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme et des articles 563 à 578 du Code de procédure pénale. Luxembourg, le01.07.2024 Le Procureur d’Etat Georges OSWALD Me Annie ELFASSI SOCIETE1.) LUXEMBOURG PERSONNE6.) Ms.PERSONNE11.) Managing DirectorHead of legal

52 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale ————————————————————————- La matérialité des faits reconnus parla sociétéanonymeSOCIETE1.)LUXEMBOURG S.A. résulte à suffisance de l’accord précité et est confirmée par les éléments dudossier répressif. Au vu de ce qui précède, il y a lieu de retenirla sociétéanonymeSOCIETE1.) LUXEMBOURG S.A.dans les liens des préventions suivantes: « Comme auteur, ayant elle-même commis lesinfractionssuivantes, entant que professionnel soumis à la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, 1. depuis un temps non prescrit et notamment entre 2013 et janvier 2017 à L- ADRESSE1.), eninfraction aux articles 3 et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard de la clientèle, de sciemment ne pas avoir appliqué, en tant que professionnel, des mesures de vigilance à l'égard de leur clientèle, lorsqu'ils nouent une relation d'affaires, lorsqu'ils concluent, à titre occasionnel, une transaction d'un montant de 10.000 euros au moins, que la transaction soit effectuée en une seule ou plusieurs opérations entre lesquelles un lien semble exister, lorsqu'il y a suspicion de blanchiment ou de financement du terrorisme, indépendamment de tous seuils, exemptions ou dérogations applicables,lorsqu'il existe des doutes concernant la véracité ou la pertinence des données précédemment obtenues aux fins de l'identification d'un client, ces mesures de vigilance comprenant, l'identification du client et la vérification de son identité, sur la basede documents, de données ou d'informations de source fiable et indépendante, l'identification du bénéficiaire effectif et la prise de mesures raisonnables pour vérifier son identité, de telle manière que le professionnel ait l'assurance de connaître leditbénéficiaire effectif, ainsi que, pour les personnes morales, les fiducies et les constructions juridiques similaires, la prise de mesures raisonnables pour comprendre la structure de propriété et de contrôle du client ; l'obtention d'informations sur l'objet et la nature envisagée de la relation d'affaires et l'exercice d'une vigilance constante de la relation d'affaires, notamment en examinant les transactions conclues pendant toute la durée de cette relation d'affaires et, si nécessaire, sur l'origine des fonds, de manière à vérifier que ces transactions sont cohérentes par rapport à la connaissance qu'a le professionnel de son client, de ses activités commerciales et de son profil de risque, et en tenant à jour les documents, données ou informations détenus, en l’espèce, de sciemment ne pas avoir rempli son obligation de vigilance à l’égard de ses clientsPERSONNE1.), respectivementSOCIETE17.) TRADING CORPetSOCIETE3.)S.A. notamment en relation avec les recherches effectuées sur l’application NAMEBOOK au sujet des noms liés à certains paiements ainsi qu’un manque de documentation de preuve (facture, etc.), pour justifier ces transferts, le défaut de vigilance existant,notamment en ce qui concerne

53 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale a.des paiements effectués vers la sociétéSOCIETE8.)à hauteur de 16.876,11 USD en date du 21 juillet 2017, alors même que la recherche du nom de la société d’assurance s’est avérée positive sur l’application NAMEBOOK, le virement fut approuvé, b.desvirements sortants des comptes deSOCIETE3.)SA etSOCIETE17.) TRADING CORPen faveur de la société panaméenneSOCIETE12.)CORPORATION (LUXEMBOURG) INC, alors même que les recherches sur l’application NAMEBOOK ont été positives, les virements furent approuvés en justifiant que le résultat «SOCIETE12.)» est classé dans la catégorie de personnes physiques alors que les paiements sont effectués vers une entité légale, c.la recherche effectuée pour l’entitéSOCIETE18.)(BVI) LIMITED BUSINESS, acceptée en date du 16 janvier 2017, et celle pour la sociétéSOCIETE4.)SA, acceptée en date du 15 avril 2016, respectivement en date du 12 mai 2016, d.des virements sortants de 50.040 USD en date du 6 septembre 2013 et un de 420.040 USD en date du 9 septembre 2013 en faveur de la sociétéSOCIETE9.)LTD (Bahamas), aucune facture n’étant présente dans la documentation respective, 2. depuis un temps non prescrit et notamment entre 2017 et janvier 2018, notamment le 18 mars 2019, à L-ADRESSE1.), En infraction aux articles 5 (1) a) et 9 de la loi (modifiée) du 12 novembre 2004 relative à la lutte contre le blanchiment et contre lefinancement du terrorisme de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, de sa propre initiative le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg lorsqu’il sait, soupçonne ou a de bonnes raisons de soupçonner qu’un blanchiment ou un financement du terrorisme est en cours, a eu lieu, ou a été tenté, notamment en raison de la personne concernée, de son évolution, de l’origine des avoirs, de la nature, de la finalité ou des modalités de l’opération, en l’espèce, de sciemment ne pas avoir coopéré pleinement avec les autorités luxembourgeoises responsables de la lutte contre le blanchiment et contre le financement du terrorisme, en n’informant pas, respectivement en informant tardivement le Procureur d’Etat auprès du tribunal d’arrondissement de Luxembourg (la CRF) lorsqu’elle savait, soupçonnait ou avait de bonnes raisons de soupçonner qu’un blanchiment ou une tentative de blanchiment était en cours en relation avec les comptes deSOCIETE3.)SA,SOCIETE17.) TRADING CORPetPERSONNE1.), qui a organisé la construction d’une structure de sociétés offshore, d’un côté pour que ses revenus issues des boni reçus de la part deSOCIETE4.)HOLDING II SA soient virés sur le compte de la sociétéSOCIETE17.) TRADING CORP, sous le regard des autorités brésiliennes, et de l’autre côté sans déclarer le compte de la sociétéSOCIETE3.)SA au fisc brésilien.» Les règles du concours retenues dans l’accord ont été correctement appliquées. La peine retenue dans l’accord est légale et adéquate. Il y a dès lors lieu de condamnerlasociétéanonymeSOCIETE1.)LUXEMBOURG S.A. conformément à l’accord.

54 7090/20/CD (JN) Accord par application des articles 563 à 578 du Code de procédure pénale PARCESMOTIFS le Tribunal d’arrondissement de et à Luxembourg,dix-neuvième chambre, siégeant en matière correctionnelle en composition collégiale, statuantcontradictoirement,le mandataire de la prévenueainsi que lereprésentant du Ministère Public entendus en leurs conclusions, c o n d a m n elasociétéanonymeSOCIETE1.)LUXEMBOURG S.A.du chef desinfractions retenuesà sa charge, qui se trouvent en concours réel, àuneamende correctionnelle dedeux- cent-cinquante-mille(250.000) euros,ainsi qu’aux frais de sa poursuite pénale, ces frais liquidés à8,52euro, o r d o n n elaconfiscation,comme pièces à conviction, de la documentation saisie au cours de l’enquête. Par application des articles 27, 28, 34, 36,60,66 et 78 du Code pénal, les articles 3, 5 et 9 de la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme et des articles 563 à 578 du Code de procédure pénale. Ainsi fait et jugé parSteve VALMORBIDA, vice-président,Céline MERTESet Fakrul PATWARY,premierjuges, et prononcé parMonsieurle vice-président en audience publique au Tribunal d’arrondissement à Luxembourg, en présencedeSteve BOEVER,premiersubstitut duprocureur d’Etat, et deJosiane CENDECKI, greffière, qui, à l'exceptiondureprésentantdu Ministère Public, ont signé le présent jugement. Ce jugement est susceptible d'appel. L’appel doit être interjeté dans les formes et délais prévus aux articles 202 et suivants du Code de procédure pénale et il doit être formé par le prévenu ou son avocat, la partie civile ainsi que la partie civilement responsable ou leurs avocats respectifs dans les40 joursde la date du prononcé du présent jugement, auprès du greffe du Tribunal d’arrondissement de Luxembourg, en se présentantpersonnellementpour signer l’acte d’appel. L’appel peut également être interjeté, dans les40 joursde la date du prononcé du présent jugement par voie de courrier électroniqueà adresser au guichet du greffe du Tribunal d’arrondissement de Luxembourg à l’adresse [email protected]’appel interjeté par voie électronique le jour d’expiration du délai de recours peut parvenir au greffe jusqu’à minuit de ce jour. Le courrier électronique par lequel appel est interjeté doit émaner de l’appelant, de son avocat ou de tout autre fondé de pouvoir spécial. Dans ce dernier cas, le pouvoir est annexé au courrier électronique. Si le prévenu estdétenu,il peut déclarer son appel au greffe du Centre pénitentiaire.