L’identité numérique est souvent présentée comme un élément déterminant de la digitalisation des parcours clients mais aussi, parce qu’elle permet d’abolir la distance entre fournisseur et utilisateur de services financiers, comme un puissant levier de mise en place du marché unique numérique au sein de l’Union européenne, avec à la clé des offres de services renouvelées et une réduction des coûts d’entrée en relations.
Si la promesse est réelle, la réalité des identités numériques en Europe est aujourd’hui beaucoup plus contrastée et le cas de la France, où l’identité numérique est encore largement absente des parcours d’entrée en relation bancaires, illustre bien les difficultés qu’il y a à passer d’un environnement historiquement conçu pour le face-à-face – où le prospect présente en agence des documents d’identité – à un environnement nativement digital où cette identification intervient par la transmission d’attributs d’une identité numérique par un tiers agissant sur instruction du prospect.
Cette situation n’est certes pas une fatalité et l’exemple des pays européens ayant déployé des schémas d’identité numérique largement diffusés dans les parcours bancaires montre que l’évolution est possible. En France, elle devrait être facilitée par l’ouverture de France Connect au secteur privé et la prochaine notification d’un schéma d’identité numérique dans le cadre du règlement eIDAS
Plusieurs facteurs techniques et opérationnels expliquent la situation actuelle, mais un des plus déterminants nous semble être l’impact des règles de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) dont on connaît l’importance critique pour le secteur bancaire et les coûts qu’elles impliquent, notamment pour les process de KYC. Au-delà de tout autre aspect, c’est à notre avis là que se situe l’enjeu majeur du déploiement des identités numériques dans les parcours bancaires, avec à la clé l’arrivée de nouveaux acteurs offrant des services innovants mais aussi une réduction des coûts des process d’entrée en relation des banques.
Mais si seules des identités numériques permettant d’identifier les prospects avec un degré de fiabilité suffisant peuvent raisonnablement être envisagées par les établissements assujettis aux règles LCB-FT, comment s’y retrouver dans un monde où prolifèrent les schémas d’identification et d’authentification publics et privés ?
Chaque État membre tente aujourd’hui, avec plus ou moins de bonheur, de répondre à cette question
Identité numérique et règles LCB-FT : deux mondes qui s’ignorent ?
Rappelons que les règles LCB-FT résultent en France pour l’essentiel des directives antiblanchiment européennes, encore modifiées deux fois en 2018
Pour ce qui est de l’identité numérique, le texte majeur est le règlement eIDAS de 2014, dont le volet identité numérique est opérationnel depuis l’automne dernier et qui offre une reconnaissance juridique des identités numériques au sein des États membres de l’UE et de l’EEE autour de 3 niveaux croissants de fiabilité (« niveaux de garantie » ou « Levels of Assurance ») définis par un cahier des charges couvrant l’ensemble du cycle de vie des identités numériques.
Mais le champ d’application initial du règlement eIDAS est celui des relations entre citoyens ou usagers et administrations ou entités du secteur public – il n’a pas été conçu pour s’appliquer aux relations du secteur privé. Or seul le secteur privé offre la volumétrie des usages permettant l’éclosion d’un véritable écosystème des identités numériques, d’où un double enjeu :
– de modèle économique, car les coûts de déploiement des infrastructures liées à l’identité numérique doivent bien sûr être pleinement appréhendés et faire l’objet d’un accord entre les principaux participants à l’écosystème ;
– mais aussi de conformité, notamment pour le secteur bancaire qui a impérativement besoin d’identités numériques fiables et balisées au regard des règles LCB-FT.
La première traduction du rapprochement entre identités numériques et règles LCB-FT est intervenue en 2018 avec la 5e directive antiblanchiment qui reconnaît officiellement tant les schémas d’identité numérique eIDAS (c’est-à-dire bénéficiant d’un niveau de garantie normé), mais sans préciser le niveau minimum requis, que tout schéma (non-eIDAS) « reconnu, validé ou accepté » par un État membre, sans autre précision.
Cette formulation très large ne fixant aucun critère minimum de fiabilité des identités numériques validées par les États membres étonne dans un texte d’harmonisation européen et crée plus de difficultés qu’elle n’en résout, notamment dans le contexte plus global des règles applicables aux services financiers européens.
Elle illustre en effet de façon frappante le paradoxe qui entoure les relations entre identité numérique et règles de KYC. Si l’identité numérique supprime les distances entre fournisseur et consommateur de services financiers et permet, au moins au niveau européen, d’abolir les frontières – c’est un des apports majeurs du règlement eIDAS –, elle se heurte à des règles d’identification des personnes et plus largement de KYC qui, même après 6 directives européennes coordonnant la lutte antiblanchiment, demeurent très largement la prérogative des États membres, sont un puissant facteur de cloisonnement des marchés nationaux et se traduisent par une grande hétérogénéité des modalités d’entrée en relations à distance au sein des établissements bancaires européens.
Une illustration bien connue de cette situation est celle de l’identification des personnes par visio-conférence, qui est validée par la BAFIN en Allemagne, y compris à destination de clients résidents français, mais n’est pas reconnue en France par la réglementation LCB-FT. Bref, les États définissent encore très librement ce qu’il convient de faire en matière d’identification des personnes dans les parcours bancaires.
Un statu quo problématique au niveau européen
Faut-il se satisfaire de cette situation ou préconiser une réglementation européenne du KYC ? Au-delà des nombreuses considérations techniques, cette question a une dimension plus politique car force est de constater que, même en matière de lutte antiblanchiment, toute proposition d’harmonisation des pratiques de supervision bancaire des États membres se heurte aujourd’hui à des réticences marquées
Chacun se fera donc une opinion sur ce sujet mais il nous semble peu cohérent d’avoir d’une part des identités numériques eIDAS harmonisées au niveau européen et des règles de passeport bancaire donnant pour la libre prestation de services, prééminence à l’État dit « d’origine », où est situé le fournisseur de services, sur l’État dit « d’accueil » où se trouvent les clients qui en sont utilisateurs, et d’autre part des règles de KYC très largement nationales.
En effet, outre que les règles de KYC nationales cloisonnent le marché européen, génèrent des coûts substantiels pour l’industrie bancaire et retardent l’émergence de prestataires pan-européens de KYC, cette situation favorise in fine l’arbitrage réglementaire vers les acteurs bénéficiant des réglementations nationales les moins contraignantes, tout particulièrement quand ils offrent des services à destination de consommateurs d’autres pays européens.
Le débat reste aujourd’hui ouvert, mais les difficultés rencontrées en Europe en matière de lutte antiblanchiment ces derniers mois ont amené une prise de conscience de la nécessité d’une meilleure efficacité des règles communes et une réflexion sur la manière d’y parvenir. Dans ce contexte, deux éléments méritent attention.
La Guidance du GAFI sur l’identité numérique
Le premier concerne le GAFI qui est engagé dans la rédaction d’une « Guidance » sur l’identité numérique, en phase de consultation et devant prochainement déboucher sur une interprétation officielle de la 10e Recommandation portant sur l’exigence d’utilisation de « sources fiables et indépendantes » pour la vérification de l’identité des clients. Bien que formellement non engageant, ce document est néanmoins bienvenu, car il s’agit du premier effort concerté au niveau international d’analyse et de reconnaissance des identités numériques dans les parcours bancaires au regard des règles LCB-FT.
– Il évalue de façon positive l’impact de l’identité numérique sur les parcours d’entrée en relation, avec une sécurité et fiabilité accrues avec un effet important de réduction des erreurs humaines et donc des risques. Cet aspect est essentiel car, justement sous l’impulsion du GAFI, la réglementation LCB-FT est aujourd’hui basée sur le principe de l’évaluation par les risques – qui veut qu’une situation objectivement plus risquée entraîne des vérifications plus contraignantes – et définit par ailleurs comme indice d’une situation potentiellement à risque le cas où le client n’est pas physiquement présent, situation qui est de fait la norme dans un contexte digital.
– Il reconnaît explicitement la diversité des schémas d’identité numérique publics comme privés et leur capacité à s’intégrer utilement dans les parcours bancaires tout en préconisant, pour les schémas privés ne bénéficiant pas d’une accréditation publique, des contraintes d’utilisation plus fortes. Cette reconnaissance des schémas privés est notable et pourrait à terme conduire à un bouleversement du paysage de l’entrée en relation à distance, notamment si les projets d’identités « auto-souveraines » à base de blockchain arrivent à maturité
Si l’approche par les risques est bien sûr légitime pour les règles LCB-FT, on peut s’interroger sur la préconisation de l’étendre au point de déléguer à chaque établissement assujetti la détermination du niveau minimum de fiabilité des identités numériques qu’il est prêt à accepter (niveau qui peut même, dans certaines situations, être faible) et à ne fixer aucune recommandation concrète à ce sujet. Quoi qu’il en soit, le contraste avec les principaux documents d’identité physiques est net car ces derniers font l’objet de normes internationales ou européennes en définissant précisément les formats et caractéristiques
Les travaux du groupe d’experts de la Commission européenne
Le deuxième facteur d’évolution vient des travaux en cours du groupe d’experts eID/KYC mis en place l’année dernière par la Commission européenne et mandaté pour faire des préconisations opérationnelles visant à assurer le déploiement des identités numériques eIDAS dans le secteur bancaire, mais aussi pour permettre une interopérabilité et/ou portabilité du KYC.
Les travaux du groupe d’experts viennent après plusieurs rapports remis à la Commission sur le
– en premier lieu, un important travail de recensement des parcours d’entrée en relations à distance a été fait, offrant une visibilité accrue sur la diversité des situations rencontrées au sein de l’Union européenne, qui sont souvent le reflet de la disparité des réglementations applicables en matière d’identification des personnes. Celui-ci permet également de constater que l’entrée en relations transfrontalières reste, pour les activités bancaires de détail, un phénomène assez marginal, handicapé par de notables différences des règles applicables d’un pays à l’autre. Il montre aussi que certains pays sont en train de déployer des schémas d’identité numérique offrant un niveau de fiabilité élevé à partir de solutions biométriques sans face à face ;
– la Commission a également demandé au groupe d’experts de considérer un schéma liant les attributs de KYC aux niveaux de garantie eIDAS. Dans la lignée des travaux déjà menés sur ce sujet, l’idée est de proposer, pour les situations de risque standard, un socle paneuropéen commun d’attributs de KYC couvrant bien sûr l’identité du client mais aussi ses données de contact (adresse, e-mail, téléphone) ainsi que son statut au regard de la relation bancaire considérée (personne politiquement exposée, origine des fonds, etc.). Chacun de ces attributs serait relié à trois niveaux définis de garantie (faible, substantiel ou élevé), lesquels seraient soit directement repris du règlement eIDAS ou, pour les attributs non couverts par le réglement eIDAS, prioritairement définis à partir des sources dont ils émanent, ce qui ouvrirait la voie à la généralisation d’un environnement d’Open Data au sein de l’Union européenne. Cette démarche laisse bien sûr une place importante à l’approche par les risques car tout établissement financier confronté à une situation de risque renforcé serait alors conduit à demander des attributs supplémentaires et/ou un niveau de garantie plus élevé pour les attributs obtenus et/ou une revérification plus fréquente des attributs fournis.
Au final, ces divers éléments traduisent un profond mouvement de prise en compte des identités numériques dans les règles LCB-FT, dont les contours ne sont pas tous arrêtés, mais qui nous semble irréversible. L’avenir du KYC digital n’est pas complètement écrit, mais tout conduit à penser qu’il sera bien centré sur les identités numériques et marqué par la notion clé de niveau de garantie.
