KYC : un enjeu de conformité qui appelle des technologies toujours plus innovantes
La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), encadrée par la règlementation européenne, mobilise des technologies digitales de plus en plus perfectionnées. Pour les établissements bancaires, le défi consiste à les mobiliser au mieux, notamment dans le cadre des procédures de KYC – know your customer. Explications avec Bertrand Bouteloup, DGA d’IDnow, société spécialisée dans les solutions d’identité digitale automatisées.
Depuis 1991, l’Union européenne adopte une approche multilatérale dans la lutte contre le blanchiment d’argent avec une première directive, indiquant que les états membres doivent mettre en place des procédures d’obligation de vigilance à l’égard de la clientèle et de connaissance client (KYC). 10 ans plus tard, dans le prolongement des attentats ayant visé le Word Trade Center, à New York, la deuxième directive ajoute la dimension de lutte contre le financement du terrorisme.
En 2022, où en sommes-nous alors que les développements technologiques offrent davantage d’opportunités de conformité ? « Aujourd’hui, nous en sommes à la sixième directive européenne, indique Bertrand Bouteloup. Les établissements financiers ont la nécessité de se conformer aux exigences de leurs régulateurs nationaux, qui transposent les directives en fonction de l’interprétation qu’ils en font et de leur propre niveau d’exigence. D’où une très grande hétérogénéité des services et processus mis en œuvre. »
PVID, un cadre règlementaire porté par la France et qui inspire l’UE
La France fait partie des pays membres qui placent haut le niveau d’exigence pour l’entrée en relation à distance d’un individu avec un établissement financier. Pendant longtemps, il n’existait pas de solutions déployables pour l’« identification à distance ». Le process de signature électronique qualifiée reposait sur un entretien en distanciel peu adapté au monde digital. Une autre alternative consistait en la réalisation d’un micro-paiement associé à la vérification de la pièce d’identité impliquant de facto que l’individu possède déjà un compte bancaire dans un établissement.
Depuis l’année dernière la situation évolue, comme l’explique le DGA d’IDnow : « La France, plus particulièrement l’ANSSI, a défini un référentiel d’exigences : le PVID (prestataires de vérification d’identité à distance). Il décrit l’ensemble des pré-requis qu’un service doit intégrer pour fournir une équivalence au face-à-face. Cette démarche a inspiré l’UE qui a planché de son côté sur une norme européenne ETSI 119-461. » Ces deux référentiels permettent aujourd’hui de mesurer la robustesse et la performance d’un service d’identification à distance et offrent aux établissement financiers des services fiables répondant aux enjeux de leurs régulateurs. Il devient par ailleurs possible d’envisager une harmonisation à terme des solutions d’identification à distance en Europe en accord avec la révision du règlement eIDAS. « Les experts ont commencé à se parler pour définir des spécifications techniques, et on parvient progressivement à une uniformisation des solutions d’identification ».
Différents scenarii de processus KYC à la disposition des établissements
Pour les établissements bancaires et financiers, le réfrentiel PVID consiste en une vérification de l’authenticité d’un document d’identité et d’un rapprochement avec l’identité physique de son porteur. Le référentiel exige que les technologies de vérification automatique de document ainsi que de vérification biométrique – reconnaissance faciale, détection du vivant (liveness) soient complétées. Dans le cadre de l’équivalence d’identification en face-à-face, cela serait rendu possible par une revue manuelle systématique du document d’identité et de la séquence vidéo de liveness par des agents certifiés. « On ne fait pas encore confiance à 100 % à la technologie, à juste titre, mais ce mode hybride ne fait pas les affaires des établissements financiers », précise Bertrand Bouteloup. Leurs clients, en particulier les plus jeunes, recherchent l’instantanéité dans la mise en relation, qui n’est pas compatible avec un traitement manuel nécessitant en moyenne cinq minutes de délai. « Les services d’identification qu’on voit se développer, bien qu’ils renforcent la sécurité, sont une vraie contrainte en matière de digitalisation des services. Ce processus, qui associe le manuel et l’automatique, ne favorise pas l’adoption des services par les établissements bancaires et financiers. »
Les alternatives aux services PVID ont encore bonne presse auprès de certains acteurs de la verticale finance. L’ACPR (Autorité de contrôle prudentiel et de résolution) a en effet défini des lignes directrices en février 2022, validant le micro-paiement par carte bancaire en complément d’une vérification de document d’identité. Les établissements peuvent donc miser sur un processus de vérification automatique du document d’identité accompagnée par un micro-paiement. Un process beaucoup plus adapté à un monde digital en le complétant le cas échéant par une solution de liveness, mais sans aucune obligation de mise en conformité PVID. La solution de détection du vivant est dans ce cas considérée comme une mesure de lutte contre la fraude et non comme une mesure de vigilance du CMF.
Troisième possibilité : la signature électronique qualifiée sur la base d’un processus moins « exigeant » que le PVID de l’ANSSI. « Ce scénario consiste à revenir à des parcours de signature électronique qualifiée plutôt que de déployer un service PVID, explique Bertrand Bouteloup. L’avantage de cette solution est qu’elle est moins contraignante pour l’utilisateur tant au niveau technologique qu’au niveau des documents acceptés, mais qu’elle est en plus facilement exportable dans les autres états membres… ».
L’open banking et le 2D-doc pour certifier les documents
S’il existe des solutions plus fiables pour attester de l’identité de l’utilisateur lors de l’entrée en relation (EER), la fraude ne se trouve pas uniquement à la création du compte. La complexité se retrouve aussi ensuite dans des démarches intégrant la certification de documents, par exemple pour l’octroi d’un crédit. La plupart de ces documents, comme un bulletin de salaire ou un avis d’imposition, ne sont pas normalisés. Des solutions existent : une base des impôts accessible aux acteurs référencés pour obtenir un certain nombre d’informations sur le foyer fiscal ; l’openbanking, pour récupérer des informations directement auprès de la banque avec le consentement de l’utilisateur… « Pour pallier cette problématique de traitement automatique, l’open banking va permettre, moyennant le consentement d’un client, à un organisme financier de télécharger directement le relevé bancaire mensuel et de repérer le salaire versé par l’employeur. » La limite ? L’acceptation par les clients, qui peuvent exprimer des réserves à partager avec un tiers les codes d’accès de leur compte bancaire. « D’une manière générale, les clients finaux restent réticents à l’utilisation de tels systèmes », constate Betrand Bouteloup.
Concernant l’avis d’imposition, l’État a acté l’intégration sur ce document d’un 2D-doc, un QR code qui vise à sécuriser les données et à les rendre infalsifiables. IDnow, chargé par les pouvoirs publics de cette mission, interviendra dès la campagne 2022.
Demain, un portefeuille électronique pour tous les citoyens européens
Plusieurs pistes restent à creuser pour favoriser les processus automatisés d’EER et limiter les risques de fraude : l’élargissement du 2D-doc à davantage de documents qui entrent dans la relation entre l’établissement et son client ; ou des initiatives comme celles portées par EDF, Engie, La Poste et la Caisse des dépôts et des consignations, Archipels, qui mobilisent la blockchain pour vérifier et certifier l’accès aux services en ligne. « La prochaine génération d’outils de KYC est poussée par la Commission européenne, complète Bertrand Bouteloup. Elle vise à doter l’ensemble des citoyens européens d’un portefeuille électronique qui contiendra notamment une identité digitale, mais aussi des crédentiels vérifiés tels qu’un justificatif de domicile ou un bulletin de salaire. »
Pour le DGA d’IDnow, les développements technologiques en matière de conformité KYC dépassent largement le cadre de la confiance numérique : « C’est avant tout un enjeu de transformation d’un marché, marqué par l’arrivée en force de la Fintech. Pour les établissements bancaires et financiers, le défi consiste à proposer des parcours fluides et largement automatisés pour rester attractifs. Pour les pouvoirs publics, il s’agit avant tout de s’assurer que l’identité digitale reste gérée et supervisée par les autorités nationales. »