La connaissance de la clientèle est un des éléments clé du devoir de vigilance mis à la charge des établissements financiers par les règles LCB-FT et celle-ci passe bien sûr par l’identification des prospects et la vérification de leur identité. Si le principe n’a rien de nouveau, sa mise en œuvre est aujourd’hui profondément transformée par la digitalisation des usages et l’impact de la crise sanitaire sur les entrées en relation, qui ont aujourd’hui massivement basculé en mode distanciel.
Ce changement n’a rien d’anodin car on ne vérifie pas une identité à distance de la même manière que dans le cadre d’une présence physique, mais il reste mal appréhendé. Essayons d’y voir plus clair en partant des alternatives disponibles pour les établissements assujettis.
Celles-ci sont définies par le Code monétaire et financier
Les options traditionnelles
Elles s’appuient essentiellement, en présentiel, sur la présentation d’un « document officiel comportant la photographie » de la personne physique considérée ou, à distance, par transmission d’une simple copie d’un tel document, mais devant alors être combinée avec une autre mesure visée à l’article R. 561-5-2 CMF, qui sera le plus souvent un premier paiement en provenance d’un compte déjà ouvert au nom du client.
La liste des documents éligibles est définie par l’ACPR et couvre principalement les cartes d’identité, les passeports et titres de séjour, par ailleurs répertoriés dans la base de données européenne PRADO
C’est de loin le schéma le plus simple, et donc le plus pratiqué, mais qui présente dans sa version en distanciel l’inconvénient d’être faiblement sécurisé car de nombreux justificatifs d’identité, à commencer par la CNI française, n’ont été conçus que pour un usage en face-à-face et voient leurs dispositifs de sécurité et de protection contre les altérations fortement dégradés lorsqu’un simple scan ou photocopie est communiqué, facilitant de fait la fraude documentaire.
Cette situation pourrait changer avec l’arrivée imminente, mais bien sûr progressive, de documents répondant aux critères définis par le règlement européen 2019/1157 unifiant les critères de sécurité des cartes d’identité nationales émises au sein de l’Union européenne, et qui se traduira en France par une nouvelle CNIe mieux sécurisée, électronique (intégrant une puce) et biométrique, largement alignée sur les spécifications applicables aux passeports nationaux dont le déploiement vient de démarrer. Cela dit, à la différence des passeports, l’accès à distance à la photo officielle de ces documents d’identité, laquelle est bien sûr l’élément essentiel permettant de sécuriser le lien entre le titre d’identité et la personne s’en prévalant devrait, dans le cadre des entrées en relation du secteur bancaire et financier, rester en mode optique – via un scan, une photo ou une session vidéo – en raison des contraintes juridiques d’accès aux données biométriques posées par le règlement précité. Ce mode offre évidemment une fiabilité dégradée par rapport à une extraction directe de la photo depuis la puce du titre d’identité.
Pour ce qui est de l’exigence d’un premier paiement, elle présente bien sûr l’inconvénient de ne pas être accessible aux non bancarisés, mais applique un mécanisme de mutualisation du KYC, puisqu’elle se traduit par une simple confirmation du nom du titulaire du compte et de son IBAN par un établissement assujetti aux règles LCB-FT. Elle est de plus facilitée par le déploiement des virements SEPA instantanés.
Les options issues du schéma eIDAS et assimilées
Rappelons que le règlement eIDAS a mis en place depuis 2016 un schéma de reconnaissance mutuelle des services de confiance numérique et, depuis 2018, des identités numériques dites « notifiées ». Pour les services de confiance, les signatures électroniques basées sur un certificat qualifié ainsi que les recommandés électroniques qualifiés émis par des prestataires de services de confiance figurant sur la liste de confiance européenne sont aujourd’hui reconnus comme mode de vérification d’identité. Pour les identités numériques, le Code monétaire et financier fixe le niveau substantiel
On l’a dit, le règlement eIDAS organise la reconnaissance mutuelle dans l’Union européenne des identités numériques notifiées ainsi que des services de confiance, basée certes sur des règles communes – notamment le règlement d’application 2015/1502 pour les niveaux de garantie des identités numériques et les standards ETSI pour les services de confiance – mais ne traitant que partiellement du sujet de la vérification d’identité, perçu comme une prérogative des États, et de ce fait échappant largement au champ réglementaire commun (voir Encadré 1).
Les schémas d’identification électronique et services de confiance eIDAS sont par ailleurs explicitement reconnus par la 5e directive LCB-FT pour la mise en œuvre du devoir de vigilance, mais celle-ci n’a toutefois pas pris la peine de leur définir des critères communs de fiabilité et reconnaît de plus, « tout autre processus d’identification sécurisé, électronique ou à distance, réglementé, reconnu, approuvé ou accepté par les autorités nationales concernées ». On se trouve donc dans la situation paradoxale où un texte d’harmonisation européen (la directive LCB-FT) valide par principe et sans aucune restriction tous les schémas nationaux quels qu’ils soient, y compris dans leurs applications transfrontalières, par exemple en application des règles du passeport bancaire.
Si cette logique peut à la rigueur se comprendre dans une approche purement nationale, elle devient éminemment problématique lorsqu’on l’envisage dans la perspective de marché digital unique, tout particulièrement lorsqu’elle est appliquée à un schéma de reconnaissance mutuelle, comme c’est le cas pour les identités numériques et services de confiance eIDAS. À titre d’illustration, une signature électronique qualifiée émise par un prestataire étranger est reconnue en France pour l’application des règles LCB-FT à l’égal d’une signature électronique qualifiée basée sur les spécifications de l’ANSSI, indépendamment des critères applicables pour la vérification de l’identité du signataire, lesquels sont le plus souvent définis par l’autorité de certification ayant accrédité le prestataire concerné. Ajoutons pour compléter le tableau qu’un prestataire offrant des services bancaires ou financiers en libre prestation de service sur la base d’un passeport européen applique ses règles nationales de KYC – donc de vérification d’identité – et non celles du pays du consommateur du service, et l’on aura une idée des possibilités d’arbitrage réglementaire résultant d’une situation où les critères de vérification d’identité ne sont pas harmonisés au niveau européen.
C’est pourtant à cette approche strictement nationale que répond, en France, la mission confiée à l’ANSSI de définir les exigences relatives à la preuve et à la vérification d’identité, qui se traduit par un Référentiel en cours de finalisation (voir Encadré 2).
C’est également dans ce contexte que le service L’Identité numérique de la Poste a été certifié par l’ANSSI au niveau de garantie Substantiel au début 2020, comme l’a été, plus récemment, la plate-forme de distribution France Connect. Il est donc possible, dès aujourd’hui et sans attendre l’ouverture prochaine du nœud eIDAS en France, de satisfaire aux obligations de vérification d’identité de la clientèle avec une identité numérique certifiée ANSSI au niveau Substantiel.
Les options de recours à un tiers
Ces options impliquent le recours à un tiers pour vérifier et certifier la copie de la pièce d’identité ou, plus simplement, pour obtenir directement confirmation de l’identité du client lorsque le tiers est lui-même assujetti aux obligations LCB-FT. La certification de documents par un tiers habilité à cet effet (officiers publics ministériels, employés d’ambassades ou de consulats) est aujourd’hui anecdotique et, même si elle a été en principe ouverte à d’autres prestataires, reste incertaine car non encadrée par une norme de garantie de leur fiabilité et/ou sécurité. Enfin, si la confirmation de l’identité du client par un tiers soumis aux obligations LCB-FT est bien pratiquée au sein de plusieurs groupes bancaires, permettant ainsi une mutualisation des process de vérification d’identité, elle est par contre beaucoup plus rare en dehors de cette situation car elle reste sans effet sur la responsabilité juridique de l’établissement ayant recours au tiers, lui faisant ainsi peser un risque important de non-conformité.
Le schéma français de vérification d’identité de la clientèle : une construction hétérogène
Ce schéma actualisé en février 2020 intègre comme on l’a vu plusieurs options nativement conçues pour un mode distanciel, ce qui est heureux. Il reflète aussi la diversité des parcours d’entrée en relation des établissements assujettis ainsi que les taux variables d’équipement de la clientèle en signatures électroniques et identités numériques, ce qui est pleinement légitime.
Il fait toutefois coexister des options peu sécurisées (scan d’une pièce d’identité et premier paiement) et des options beaucoup plus contraintes (respect du référentiel ANSSI), faisant ainsi peser un risque de non-utilisation des options les plus exigeantes, aussi justifiées soient-elles, et de report massif sur les options les plus simples. Cette situation est loin d’être théorique car ce fut celle de la signature électronique jusqu’en 2016, dont les critères se sont avérés trop contraignants pour les usages envisagés, conduisant à sa non-utilisation généralisée et de ce fait à fragiliser juridiquement les usages digitaux.
Il reflète de plus la profonde incohérence d’un schéma européen de reconnaissance mutuelle des identités et services de confiance, aujourd’hui basé sur des spécifications nationales non coordonnées, mais illustre également la tentation qu’a chaque État de définir ses propres critères techniques en matière de vérification d’identité à distance, comme si le marché digital unique n’existait pas ou ne méritait qu’une attention limitée. À l’heure où l’Autorité des marchés financiers alerte sur les risques de fragmentation intra-européenne et rappelle la nécessité de renforcer l’efficacité des marchés financiers permettant de faire émerger des marchés européens liquides et profonds, avec des acteurs et des infrastructures de taille mondiale
