E-KYC ou l’identification en ligne des clients : quel cadre réglementaire ?, par @ThibVerbiest / De Gaulle Fleurance & Associés

0
3162

Le secteur financier (banques, établissements de paiement, plateformes de crowdfuding…) est soumis à des obligations strictes de KYC (« know your customer ») afin de lutter contre la fraude, le blanchiment d’argent et le financement du terrorisme  (« AML »).

Les procédures d’identification des nouveaux clients se fait traditionnellement par des documents d’identité officiels et face-à-face. Inutile de dire que les jeunes générations exigent de plus en plus une flexibilité et facilité d’ouverture de compte en ligne, sans déplacement physique. Et émerge une nouvelle activité Fintech, la fourniture de solutions dite « e-KYC » d’identification à distance  des nouveaux clients, avec un accueil plus ou moins favorable des superviseurs. 

Le cadre légal

Au niveau européen, la matière est aujourd’hui régie par la quatrième directive anti-blanchiment 2015/849 du 20 mai 2015[1], qui doit être transposée en droit national avant le 20 mai 2017[2]. Tous les acteurs régulés de la finance sont soumis aux obligations anti-blanchiment (banques, établissements de paiement, conseillers en investissement financier etc.). Toutefois, un doute existe à ce jour sur l’application des obligations KYC aux nouveaux entrants du secteur du paiement (initiateur de paiement et agrégateur de comptes, voir infra) car la DSP2 n’en dit mot.

 L’identification à distance

Nous utilisons tous de multiples identités numériques, fournies par différentes entreprises privées, tels que des opérateurs télecoms, des commerçants, les GAFA et bien sûr les établissements financiers. Ces identités ne sont pas toujours fiables. Par exemple, tout un chacun peut ouvrir un compte d’un réseau social en indiquant un faux nom et une adresse électronique fantaisiste.  Les établissements financiers sont eux obligés de vérifier l’identité de leurs nouveaux clients en s’appuyant sur des titres d’identité émis par l’Etat (cartes d’identités, permis de conduire, passeport..) car ils sont seuls présumés fiables. Pareille vérification s’opère généralement en agence pour ce qui concerne les banques. Mais cette vérification peut-elle aussi s’opérer à distance, via une application mobile par exemple ?

Des Fintechs se sont déjà emparées de ce marché prometteur, en proposant des procédures simples et rapides  d’auto-enrôlement en ligne : le prospect prouve son identité en prenant un « selfie » et des photos de son passeport, de sa carte d’identité et des justificatifs d’identité. Les données sont ensuite capturées par le biais du mobile et envoyées à un serveur  qui vérifie l’unicité de l’identité et la légitimité du porteur.

Le service de vérification d’identité effectue notamment :

– la validation des pièces et justificatifs d’identité (cartes d’identité, cartes de paiement, contrats, certificats, etc.) ;

– la vérification des informations fournies, par comparaison avec des bases de données préexistantes ;

– des contrôles anti-fraude : contrôle de listes de surveillance, notamment liées à l’anti-blanchiment

Au cas par cas, les autorités de supervision valident ces procédures d’auto-enrôlement lorsqu’elles offrent toutes les garanties requises pour respecter les obligations légales en matière de KYC.

Le superviseur luxembourgeois (Commission de Surveillance du Secteur Financier) a toutefois été plus loin en précisant toutes les étapes à suivre et les garanties à donner en cas d’identification de nouveaux clients par « video chat »[3].

 L’identification par signature électronique

Les signatures électroniques sont utilisées depuis des années par les banques pour signer des contrats à distance. Mais peuvent-elles aussi être utilisées pour identifier un nouveau client, inconnu de l’établissement en question ? La question est importante car la signature électronique a le potentiel de simplifier grandement l’enrôlement de nouveaux clients dans le cadre de services innovants en ligne.  La question est d’autant plus d’actualité depuis l’entrée en vigueur (le 1er juillet 2016) du règlement européen dit « e-IDAS » sur l’identification électronique[4].

En juillet 2016, la Commission européenne a présenté une proposition de directive visant à amender la quatrième directive anti-blanchiment afin de tenir compte, notamment, de l’émergence des plateformes d’échange de crypto-monnaies[5]. Cette  proposition prévoit de consacrer l’identification électronique au sens du règlement e-IDAS comme l’un des moyens d’identifier un nouveau client.[6]

L’autorité de surveillance belge a émis une circulaire précise en la matière[7]. Lors de l’identification à distance des clients qui sont des personnes physiques, la vérification de leur identité peut être opérée, au moyen d’un certificat qualifié[8], pour autant qu’il ait été émis par un prestataire de service de certification accrédité et que la délivrance du certificat ait eu lieu sur la base d’une procédure requérant une identification face-à-face du client par le prestataire de service de certification lui-même ou, dans le respect des procédures qu’il définit, par des personnes qu’il mandate à cet effet.[9] Il est donc essentiel que le prestataire de service de certification (accrédité) exige une identification face-à-face lorsqu’il délivre pour la première fois le certificat électronique au client (qui sera alors considéré comme identifié pour le secteur financier).  En France, la réglementation exige une telle identification présentielle pour les certificats qualifiés[10].

 Blockchain et RegTech

Avec une réglementation qui est de plus en plus exigeante, le « KYC » comporte un coût humain et un coût en termes de temps. En outre, il complique la relation client en rendant fastidieuse l’ouverture d’un compte. C’est pour répondre à cette problématique qu’est né un avatar de la Finctech, que l’on nomme la « regtech ». Apparues en 2015, les « regtech » proposent aux acteurs financiers des solutions technologiques destinées à gérer leurs activités « compliance » – ou conformité – c’est-à-dire le respect des dispositions législatives et réglementaires ainsi que des normes internes et statutaires. Les regtech spécialisées dans le KYC proposent de remplacer les recherches manuelles chronophages par des solutions de screening automatisées et intelligentes de bases de données, notamment pour détecter les « personnes politiquement exposées » susceptibles d’être impliquées dans des affaires de corruption et les personnes déjà sanctionnées[11].

La technologie blockchain est également testée à cet égard par des acteurs bancaires.  L’objectif est d’inscrire sur une blockchain, par nature infalsifiable et auditable, les connaissances authentifiées des contreparties (papiers numérisés, signatures, vérifications…).  En effet, une base de données partagée pourrait permettre aux banques et acteurs financiers de partager les documents de KYC en étant sûrs qu’ils sont légitimes et valides, ce qui engendrerait un gain de temps significatif en évitant à chaque banque d’effectuer le processus de vérification d’un client déjà effectué par une autre banque. Le KYC ne serait ainsi plus centralisé au sein de chaque banque. De plus, le client aurait la main sur ses données dans un environnement distribué et il n’y aurait plus de redondance des informations[12].

Notes :

[1] V. Th. Bonneau, Régulation bancaire et financière européenne et internationale, Brulyant 3° éd. 2016, n° 341 et s.

[2] En France, le texte fondateur de la lutte contre le blanchiment est la loi du 12 juillet 1990 (v. Th. Bonneau, Droit bancaire, 11° éd. 2015, LGDJ, n° 318 et s.). La loi SAPIN 2, en date du  8 novembre 2016 a apporté des précisions sur la notion de bénéficiaire effectif et la Directive du 20 mai 2015 a été tranposée par une ordonnanne du           .

En Belgique, le texte fondateur de la lutte contre le blanchiment est la loi du 11 janvier 1993 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme.

[3] http://www.cssf.lu/fileadmin/files/LBC_FT/FAQ_LBCFT_VIDEO_IDENTIFICATION_080416.pdf

[4] Règlement « E-idas (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

[5] Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directive (EU) 2015/849 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing and amending Directive 2009/101/EC, .2016 COM(2016) 450 final 2016/0208 (COD), http://ec.europa.eu/justice/criminal/document/files/aml-directive_en.pdf

[6] Voir considérant 17 et article 1.4, Règlement e-Dias

[7] Circulaire CBFA_2010_09 du 6 avril 2010, www.fsma.be/~/media/Files/fsmafiles/circ/fr/2011/cbfa_2011_09-1.ashx.

[8] Au sens de la loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification et au sens de la directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. La notion a été reprise telle quelle par la règlement e-IDAS.

[9] En Belgique, l’identification à distance peut aussi s’opérer au moyen de la carte d’identité électronique du client.

[10] Décret d’application n° 2001-272 du 30 mars 2001 de la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information, qui vient préciser les contours de la  » signature électronique sécurisée  » bénéficiant de la présomption légale de fiabilité. L’accréditation est de la compétence des services du Premier ministre.

[11] Voir par exemple https://kyc3.com/.

[12] Voir les travaux du consortium R3 http://www.r3cev.com, ou ceux du consortium français LaBchain lancé par la Caisse des dépôts et consignations : http://www.caissedesdepots.fr/labchain-lancee-par-la-caisse-des-depots-devoile-son-1er-cas-detude.

AUCUN COMMENTAIRE

LAISSER UN COMMENTAIRE