La Commission européenne a présenté fin septembre sa « Stratégie de finance numérique pour l’UE »
Celle-ci fait écho à l’annonce que la Commission présentera d’ici à la mi-2021 : « une identité numérique européenne sécurisée facilitant l’accès à des services publics, privés et transfrontières, [basée sur] une technologie permettant de contrôler quelles données nous partageons et l'usage qui pourra en être fait »
Au-delà de cette déclaration remarquée, l’aspect le plus déterminant de ces annonces est sans doute la rupture avec une pratique donnant structurellement compétence aux États membres pour tout ce qui a trait à l’identification des personnes physiques et morales. Cette situation a de fait conduit à un paradoxe frappant car si le digital abolit bien les distances et devrait favoriser le marché unique, les cloisonnements des marchés nationaux se sont renforcés avec des règles d’identification – et, en matière bancaire, de connaissance des clients (KYC) –, ainsi que des normes techniques non couvertes par le règlement eIDAS, le plus souvent déclinées au niveau national, rendant de fait difficile, voire impossible, toute interopérabilité et mutualisation des processus de vérification d’identité au niveau européen.
Précisons à toutes fins utiles que les annonces faites n’ont évidemment pas pour but de toucher au cœur de la compétence des États en matière d’identité, à savoir la définition des critères de citoyenneté, lesquels ne sont aucunement remis en cause. Il est également probable qu’un rôle important sera dévolu aux cartes d’identité nationales conformes au nouveau règlement européen 2019/1157, dont la future carte d’identité électronique française, lesquelles devraient logiquement servir de titres primaires (breeder documents) pour les schémas et services liés à l’identité en application du règlement eIDAS révisé.
Un règlement eIDAS.2 orienté vers les usages privés des identités numériques
Le processus de révision du règlement eIDAS de 2014 est engagé avec une série de propositions présentées autour de trois scénarios soumis à consultation au cours de l’été dernier. Celles-ci visent à remédier à deux faiblesses structurelles, à savoir un caractère centré sur les services publics et appuyé sur un schéma d’interopérabilité dépendant du bon vouloir des États membres, et faisant appel à des standards techniques aujourd’hui dépassés. Si le règlement eIDAS a bien été un incontestable succès réglementaire – et demeure une référence incontournable au plan juridique –, son bilan concret sur l’interopérabilité des identités numériques est des plus décevants, conduisant même la Commission à reconnaître qu’il n’était pas « fit for purpose ». À titre d’illustration, la France n’a à ce jour ni prénotifié à la Commission un schéma d’identité numérique national, ni ouvert le nœud eIDAS permettant l’accès en France aux identités numériques européennes.
La Commission a donc soumis à concertation trois scénarios de révision au cours de l’été, articulés autour des éléments suivants :
– un scénario dit « de base » visant à actualiser et compléter les textes d’application du règlement eIDAS sans apporter de changement à celui-ci ;
– un scénario définissant un nouveau service de confiance eIDAS centré sur la certification d’identité ou de statut ;
– un scénario ouvrant, en plus du schéma actuel de reconnaissance mutuelle des identités numériques notifiés par les États membres, une identité numérique européenne offerte à l’ensemble des citoyens de l’Union.
C’est évidemment à ce troisième scénario que fait penser l’annonce d’une « identité numérique européenne sécurisée » par la présidente de la Commission dans son discours du 16 septembre. De fait, très peu d’informations ont été fournies sur ses modalités de mise en œuvre et il sera intéressant de voir dans quelle mesure le nouveau schéma d’identité européenne fera appel aux technologies de blockchain décentralisées, visant justement à assurer une complète maîtrise des citoyens sur leurs données. Le débat reste très ouvert sur ce point.
Si le troisième scénario est aujourd’hui le seul ayant donné lieu à une annonce politique, il reste probable qu’il sera combiné aux deux autres, et notamment au second qui a rencontré un écho très favorable dans le cadre du processus de consultation. Celui-ci ouvre de fait des perspectives importantes de déploiement des services de certification d’identité et de statut (professionnel ou autre) des personnes qui manquent aujourd’hui et donneraient une nouvelle maturité au secteur de la certification digitale en Europe. Même le scénario de base, au demeurant moins ambitieux, a pour objet de compléter le texte du règlement eIDAS par des dispositions techniques communes relatives à la vérification d’identité, signe que la Commission considère cet aspect comme prioritaire.
Au-delà de ces solutions techniques, l’idée est de favoriser l’émergence d’acteurs offrant des solutions technologiques avancées susceptibles d’offrir de meilleurs services aux consommateurs, de permettre une véritable interopérabilité des identités numériques pour le secteur privé et, au-delà, de préserver l’autonomie stratégique de l’Europe dans les services financiers.
Rompre avec la tentation du « chaque État pour soi » pour les spécifications techniques
Le développement des services d’attestation d’identité implique de pouvoir identifier à distance, avec la même fiabilité qu’en situation présentielle, la personne qui se prétend titulaire des justificatifs correspondants (pièce d’identité, passeport, etc.). Ce sujet pourtant déterminant reste encore peu normé et largement à construire au niveau européen, même si des éléments figurent dans le règlement d’application eIDAS 2015/1502 pour les schémas d’identité numériques et dans les normes ETSI
De fait, un schéma où chaque pays décline ses propres critères techniques applicables à des identités numériques et des services de confiance qui sont reconnus comme juridiquement équivalents dans toute l’Union par le règlement eIDAS pose évidemment problème. Tout d’abord parce que le digital est bien un domaine où les standards techniques sont déterminants et où la dimension européenne apparaît nécessaire et pertinente, aucun pays européen n’ayant de fait la taille critique pour s’imposer face aux GAFAM, comme en atteste une nouvelle fois le débat sur les applications Stop Covid ou, dans un autre domaine, la mise en place d’un cloud européen. Ensuite, parce que cette situation de disparité des contraintes techniques pour des services reconnus comme équivalents pose un problème de level playing field et favorise l’arbitrage réglementaire en faveur des pays les moins-disants.
Mais si peu de normes techniques existent, c’est aussi parce que la vérification d’identité s’est longtemps faite en face-à-face et qu’une évolution technologique est récemment venue changer la donne. Il s’agit du déploiement progressif de documents d’identité accessibles électroniquement (notamment les passeports et titres de voyage répondant aux normes ICAO 9303) et d’autre part de smartphones disposant de fonctionnalités NFC capables d’accéder de façon sécurisée aux données d’identité intégrées dans ces documents. Cette double évolution ouvre la perspective de vérifications d’identité à distance à un niveau de fiabilité comparable, voire supérieur à celui offert en présentiel
Tout indique pourtant que les choses seront amenées à évoluer, notamment pour les services de confiance eIDAS qui impliquent également une vérification d’identité, car la Commission a pris conscience du caractère problématique de textes renvoyant structurellement aux spécifications des États membres et l’ETSI, qui est l’autorité de standardisation compétente en ce domaine, s’est attelée à la rédaction de spécifications techniques sur la vérification d’identité visant à définir des critères d’équivalence entre le face-à-face et la vérification à distance, devenue le nouveau standard opérationnel dans un monde post-Covid.
L’harmonisation des règles de KYC
La stratégie pour une finance européenne digitale de la Commission identifie le morcellement des règles de KYC comme un obstacle majeur sur la voie d’un marché digital unique et annonce la mise en place de règles plus harmonisées faisant écho, pour le secteur financier, à la réforme du règlement eIDAS déjà évoquée.
La Commission avait été mandatée par le Conseil ECOFIN de décembre 2019 pour étudier un règlement sur la lutte antiblanchiment venant en complément ou remplacement de la directive actuelle – et deux groupes d’experts missionnés par elle avaient rendu le même mois des conclusions convergentes sur la nécessité d’une réforme ambitieuse en ce domaine
– les critères retenus pour l’identification et l’authentification des personnes dans le cadre de l’entrée en relation ;
– et les conditions de mise en responsabilité des intervenants dans le cadre d’une mutualisation du KYC.
Un ambitieux calendrier de mise en place est ainsi fixé puisque l’ABE est invitée à développer des lignes directrices au cours du 3e trimestre 2021. Il est ainsi préconisé qu’une liste commune d’attributs d’identité soit définie pour la mise en œuvre des processus de KYC ainsi qu’une clarification des technologies reconnues comme acceptables pour leur mise en œuvre pour des entrées en relation à distance.
Une évolution majeure pour le KYC mutualisé
Définir des critères communs pour identifier à distance et de façon sécurisée les personnes physiques et morales devrait permettre d’ouvrir de façon significative les marchés adressables et faciliter l’arrivée de nouveaux acteurs en ouvrant des gisements d’économie d’échelle facilitant la mise en place de meilleurs services à des coûts réduits. Au-delà de ces sujets, c’est surtout l’harmonisation des critères de responsabilité qui, compte tenu des lourds enjeux réglementaires et financiers de la réglementation LCB-FT, pourrait vraiment changer la donne en viabilisant la fourniture d’attributs de KYC par les banques et des acteurs spécialisés et ouvrir la voie à une généralisation des KYC utilities.
Certes, les annonces de la Commission restent générales et un travail considérable est à mener pour leur donner une traduction concrète, mais celles-ci donnent un signal extrêmement positif. Celui-ci arrive alors que des travaux sont par ailleurs menés pour arrêter les spécifications techniques d’échanges d’attributs et de métadonnées de KYC dans le cadre de projets pilotés par la fondation OpenID, qui gère le standard international d’échange de données d’identité (notamment utilisé en France par France Connect, le service public de mutualisation d’identités numériques). Le moment est donc bienvenu.
À terme, cette annonce est porteuse d’une évolution majeure pour le secteur bancaire en Europe, dont le rôle déterminant est établi de longue date, mais qui, en dehors de certains pays scandinaves, n’a pas été véritablement en mesure de tirer parti de son rôle de dépositaire de données de KYC pour offrir des services à valeur ajoutée à d’autres acteurs économiques. De fait, au-delà du choix des technologies applicables, c’est l’attention portée à l’unification des standards techniques et surtout des critères de responsabilité qui fait la différence et pourra transformer en un réel gisement de valeur les processus de KYC mis en œuvre au sein des banques. Dans un monde où les incertitudes dominent et ou l’horizon macroéconomique s’assombrit, les annonces faites par la Commission dans sa stratégie de finance numérique sont de vraies bonnes nouvelles pour le secteur bancaire. À lui, bien sûr, d’en saisir les opportunités qui en résulteront.
