La promesse du KYC partagé est de permettre à un client déjà bancarisé et souhaitant rentrer en relation avec un autre fournisseur de services, financiers ou autres, de demander à sa banque le transfert de tout ou partie de ses données de KYC (Know your customer), ceci en substitution des informations qu’il serait amené à communiquer directement auprès du nouveau fournisseur de services en l’absence de transfert. Si cette situation n’est pas encore une réalité opérationnelle en France, la mise en place de schémas d’identité numériques nous apparaît comme une étape préliminaire importante dans cette voie, ainsi qu’en attestent plusieurs projets en cours dans d’autres pays européens.
Des initiatives récentes en cours
L’année 2020 devrait en effet voir la concrétisation de plusieurs initiatives visant à mutualiser le traitement des process de KYC. Ainsi, la plateforme KYC de SWIFT vient de s’ouvrir aux corporates, plusieurs banques scandinaves mettent en place une « Nordic KYC Utility » offrant ses services aux clients personnes morales, et, plus proche de nous, le projet KUBE en Belgique viendra simplifier les process de KYC pour les clients personnes physiques ou morales multi-bancarisés en tirant le meilleur parti des technologies numériques, notamment la blockchain.
Il s’agit d’une part de renforcer la qualité des données de KYC et de renforcer l’efficacité des dispositifs de lutte antiblanchiment, notamment en réduisant les risques d’erreur de traitement des documents examinés, de réduire – en les mutualisant – les coûts des investissements engagés par les établissements financiers mais aussi de mieux positionner les acteurs historiques de la sphère bancaire face aux néobanques, aux FinTechs et aux GAFA et de poser les premiers jalons d’une industrie des services de KYC.
Mais autant la promesse est séduisante, autant les succès sont rares. C’est ainsi que l’Autorité monétaire de Singapour a récemment annoncé reprendre sur de nouvelles bases le projet de KYC Utility centralisé, jusqu’à présent en panne en raison de coûts trop lourds pour la volumétrie d’usages considérés. Les jeux ne sont donc pas faits mais une chose paraît avérée : la recherche de solutions de mutualisation des process de KYC continuera de s’imposer en raison de leurs coûts très élevés (plusieurs centaines de millions d’euros pour les acteurs les plus importants), auxquels il faut rajouter les pertes d’opportunités liées à l’abandon d’entrées en relation, du fait de demandes perçues comme trop contraignantes, sans parler des amendes mises à la charge des établissements défaillants.
De plus, ces coûts sont le plus souvent encourus dans le cadre de relations d’affaires impliquant des profils de clientèle comparables et sont donc répliqués d’un établissement à l’autre. Par ailleurs, les process de KYC restent aujourd’hui largement pratiqués dans une logique documentaire (même lorsqu’il s’agit de documents numérisés) et n’intègrent que très partiellement un niveau de dématérialisation complète. Bref, ils manquent globalement d’efficacité et s’avèrent en Europe d’une efficacité relative pour répondre aux défis de la lutte antiblanchiment.
Force est en effet de constater que les choses restent très perfectibles au sein de l’Union européenne. En effet, alors que le marché unique et l’Union bancaire sont des réalités et que le cadre européen est le bon niveau pour définir des règles numériques, c’est l’éparpillement qui prévaut pour les règles de KYC, domaine où chaque État définit à peu près librement ce qu’il convient de faire. Cette situation cloisonne de fait les marchés bancaires nationaux et favorise des arbitrages réglementaires fragilisant les dispositifs européens, mais la perspective d’un règlement LCB-FT (lutte contre le blanchiment de capitaux et le financement du terrorisme) venant remplacer les directives actuelles pourrait changer la donne sur ce point
Dans ce contexte, la mutualisation des processus de KYC devrait s’imposer comme solution. Mais si très peu de projets ont vraiment abouti à ce jour, c’est sans doute que leur mise en œuvre s’avère particulièrement complexe pour des raisons qui méritent examen.
Cela dit, il est frappant de voir que les pays les plus engagés dans le déploiement d’identités numériques sont également en pointe dans la mise en place de solutions de mutualisation du KYC. On connaît l’avance prise par les pays nordiques en ce domaine, ou les « BankID » sont largement déployées depuis plusieurs années et massivement adoptées au sein du public, y compris et surtout, sous forme mobile. En Belgique, un choix pertinent a été fait avec la solution ItsMe, portée par un consortium de banques et d’opérateurs de téléphonie mobile, offrant à la fois une solution d’identité numérique de niveau élevé (notifiée eIDAS fin 2019) ainsi qu’une fonctionnalité de signature électronique qualifiée eIDAS. Ces pays sont aujourd’hui en train de déployer de solutions de KYC partagé qui méritent attention.
De fait, le déploiement d’identités numériques facilite considérablement la gestion digitale des process de KYC aussi bien pour les personnes physiques que les personnes morales, car ces dernières sont bien sûr représentées par des personnes physiques intervenant pour leur compte
Un challenge qui reste considérable
Mais cette condition sans doute nécessaire n’est certainement pas suffisante car toute solution de mise en œuvre d’un KYC partagé, se doit de répondre à trois enjeux distincts.
1. Le premier est celui de la mise en œuvre opérationnelle qui, au-delà de la solution purement technique retenue, doit permettre d’interagir de façon efficiente avec l’environnement des entités avec lesquelles il interagit. En clair, il s’agit de s’assurer que la solution retenue fonctionne non seulement dans le cadre d’un PoC (Proof of Concept) mais aussi en production, et apporte bien un « plus » opérationnel à l’entité qui les met en œuvre dans son propre environnement – sans rajouter de la complexité dans ses systèmes d’information, son organisation ou sa gestion des risques. C’est un premier challenge, qui implique un effort très significatif de standardisation des process opérationnels, auquel se sont souvent heurtées de nombreuses solutions technologiques, y compris celles à base de blockchain.
Cet effort ne saurait pourtant aller trop loin, car il trouve une limite juridique dans le fait que le nouveau fournisseur de services – par hypothèse réceptionnaire de tout ou partie des données de KYC du client – reste juridiquement responsable de la mise en place du KYC même en cas de délégation opérationnelle auprès d’un tiers
Il en résulte que si les process de collecte et de vérification des attributs constituant le profil de KYC d’un client peuvent, et à notre avis devraient, être normalisés entre les différents acteurs concernés, il ne peut en aller de même pour la vérification de l’adéquation des données de KYC avec les critères LCB-FT et la politique de risque de l’entité entrant en relation avec le client. Il est certes possible que le profil de KYC établi par la première banque convienne entièrement pour l’entité réceptionnaire, mais cela ne peut aucunement être présumé et cette dernière devra en toute hypothèse s’assurer de la complétude des données transmises par la banque, et le cas échéant obtenir des données additionnelles directement auprès du client ou auprès de tiers.
2. Le second enjeu est celui du modèle économique et la gouvernance qui en résulte, lesquels doivent être clairement définis entre les intervenants. Ceci suppose bien sûr un partage des coûts de mise en œuvre – ce qui n’est pas simple – mais aussi de la valeur potentiellement créée par la solution de mutualisation du KYC. On touche là à un sujet critique compte tenu du lien structurel entre les données de KYC, qui sont à la fois requises par la réglementation mais aussi utiles pour identifier les besoins du client, et la relation de clientèle, laquelle a une valeur pour l’entité qui en est titulaire et qu’elle entend naturellement préserver. C’est cette réalité qui rend délicate une mutualisation complète des données de KYC et renforce l’intérêt des schémas où celles-ci restent localisées chez la banque jusqu’à ce que le client ait expressément émis une instruction de transfert vers un tiers, solution d’ailleurs en ligne avec les principes du RGPD (règlement général sur la protection des données).
En Europe, cette problématique est renforcée par la très grande diversité des réglementations relatives au KYC, domaine pour lequel les directives européennes ne visent aujourd’hui qu’une harmonisation minimale face à des États qui demeurent jaloux de leurs prérogatives. Cette situation a également pour effet de cloisonner les marchés bancaires nationaux et de réduire les incitations à investir dans l’automatisation des process. Pourquoi en effet le faire si le marché adressable est trop étroit pour justifier le déploiement de nouvelles solutions d’industrialisation.
3. Enfin, les règles de responsabilité doivent être clairement arrêtées et définies, tout particulièrement dans les relations entre le fournisseur de données de KYC (en pratique la banque) et la partie amenée à les utiliser (le nouveau fournisseur de services). Il s’agit bien sûr d’un enjeu aujourd’hui crucial compte tenu du poids des sanctions infligées aux acteurs défaillants. Nous avons vu que cette responsabilité pèse structurellement en premier niveau sur le fournisseur de services financiers considéré, dans notre exemple le nouveau prestataire de services amené à s’appuyer sur les données de KYC fournies par la banque, mais on peut craindre qu’il ne se retourne ensuite contre elle au motif que les données reçues n’auraient pas en toute hypothèse été du niveau de fiabilité nécessaire, ce qui fait bien sûr peser un risque important dans la mise en œuvre de toute solution de partage de KYC.
Réconcilier toutes ces contraintes s’est de fait avéré hors de portée jusqu’à aujourd’hui, malgré l’impulsion donnée par le RGPD
La situation est-elle pour autant condamnée ? Nous ne le pensons pas car le déploiement en cours des identités numériques dans de nombreux pays entraîne une évolution prometteuse en ce domaine. Il est d’ailleurs frappant de constater que les pays nordiques, qui sont en avance dans le déploiement des usages des identités numériques sont également les premiers à mettre en place une KYC utility.
Les identités numériques : une étape majeure vers le déploiement de services de KYC pleinement dématérialisés
De fait, le changement de paradigme introduit par le déploiement des identités numériques offre de réelles perspectives et change la donne. Pourquoi ? D’une part parce que d’une part les identités numériques véhiculent des attributs (et non des documents) auxquels sont associés un niveau de fiabilité défini par la réglementation
Ces deux éléments ouvrent la voie vers une répartition clarifiée des rôles et responsabilités des acteurs concernés, tout particulièrement ceux du fournisseur et de l’utilisateur des données de KYC, identifié en anglais comme « KYC relying party ». En effet, si un attribut d’identité se voit attribuer un niveau de garantie défini et associer des métadonnées pertinentes, il devient alors possible de déterminer si ce niveau est suffisant ou non pour un risque de clientèle déterminé. De même, la gestion d’attributs permet de structurer les rôles et responsabilités de la KYC relying party autour de trois activités principales :
– obtenir et utiliser l’attribut, c’est-à-dire faire en sorte qu’il soit disponible pour être appliqué dans les process de KYC de l’entité considérée, ce qui va de soi pour les attributs identifiés comme nécessaires par le nouveau fournisseur de services. C’est en effet sur lui que pose la responsabilité de déterminer les attributs de KYC requis pour la nouvelle relation commerciale qu’il entend mettre en place avec le client et il ne saurait s’en remettre pour cela à un tiers, même la banque ayant déjà constitué un profil de KYC avec ce même client ;
– vérifier l’attribut, c’est-à-dire s’assurer de son niveau de fiabilité, lequel dépend prioritairement de l’identification de la source à l’origine de l’attribut et de la manière, plus ou moins sécurisée, selon laquelle la communication de l’attribut a été effectuée de cette source jusqu’à la personne en faisant utilisation dans le cadre du process de KYC. Cette tâche est facilitée lorsque celui-ci est obtenu dans le cadre d’une identité numérique bénéficiant d’un niveau de garantie déterminé car il suffit en effet de s’interroger sur l’adéquation de ce niveau avec le risque LCB-FT de la relation de clientèle considérée
– enfin, rafraîchir l’attribut, c’est-à-dire le revérifier de façon périodique. Cette activité vise à mettre en pratique l’approche par les risques requise par la réglementation LCB-FT. Il appartient donc au titulaire de la relation de clientèle, dans notre exemple le nouveau prestataire de services, de définir la périodicité de vérification des attributs de KYC, étant entendu que cette périodicité peut varier de façon très significative en fonction de ceux-ci, et même être permanente pour certains d’entre eux – par exemple, le statut du client au regard des listes de sanctions internationales.
Ainsi, un attribut considéré comme déterminant dans le cadre d’une relation de clientèle sera recherché avec un niveau de garantie plus élevé qu’un attribut au rôle moins structurant. De même, un attribut structurellement instable sera logiquement considéré comme devant être revérifié (rafraîchi) plus fréquemment qu’un attribut intrinsèquement stable, comme par exemple la date de naissance.
Ces éléments permettent en conséquence de définir les rôles et responsabilités attendus de la banque et de la KYC relying party, ce qui renforce l’efficacité du KYC tout en maintenant la place nécessaire au déploiement d’une approche par les risques dans les process d’entrée en relation. Nous le voyons donc comme un élément clé de la transition en cours vers un environnement de e-KYC (voir Schéma).
Évolutions à venir
Le déploiement d’identités numériques pour les personnes physiques et morales est bien un élément nécessaire du déploiement de process de KYC pleinement dématérialisés, mais il ne saurait à lui seul être suffisant, car les établissements soumis à la réglementation LCB-FT doivent collecter des informations sur leurs clients allant bien au-delà de leur simple identification
Sans entrer dans des détails trop techniques qui dépassent le cadre de cet article, nous indiquerons simplement l’approche générale préconisée, laquelle consiste à :
proposer un standard européen visant à définir une liste d’attributs de KYC et, pour ces attributs, les niveaux de garantie correspondant (identifiés comme « faible, substantiel et élevé »). Ce standard suppose de définir les sources présumées fiables pour les différents attributs de KYC, lesquelles seront en principe éligibles pour le niveau de garantie « élevé » lorsque la communication de l’attribut intervient sur un mode sécurisé. À côté des sources présumées fiables, il est également suggéré de reconnaître une catégorie intermédiaire d’acteurs, les « tiers indépendants reconnus » utilisant un attribut de KYC pour leur propre usage et susceptibles de le confirmer ;
– suggérer que l’Autorité bancaire européenne définisse les attributs et niveaux de garantie nécessaires pour des risques standardisés pour des usages bancaires standardisés (par exemple ouvrir un compte), à charge bien sûr pour les établissements confrontés à des situations de risque renforcées de prendre les mesures complémentaires nécessaires pour y faire face dans le cadre de la mise en œuvre de l’approche par les risques ;
– accompagner les travaux en cours de normalisation des attributs de KYC dans le cadre des standards techniques applicables (notamment OpenID Connect) et des nouvelles technologies (blockchain).
La Commission européenne aura prochainement l’occasion de considérer ces préconisations et l’avenir dira si elles seront intégrées en tout ou partie dans un futur règlement européen LCB-FT. Quoi qu’il en soit, une prise de conscience a aujourd’hui lieu sur la nécessité d’introduire plus de standardisation dans les données de KYC tout en maintenant la flexibilité nécessaire au déploiement de l’approche par les risques, ceci pour assurer le déploiement de véritables services de eKYC ainsi que l’émergence d’acteurs gestionnaires de KYC Utilities à vocation pleinement paneuropéenne.
