LCB-FT : de la vérification d’identité à distance des personnes physiques

Int&eacute;r&ecirc;t et actualit&eacute;. C&rsquo;est quasiment au quotidien que le juriste de banque, de paiements, d&rsquo;assurances, etc., travaille aux conditions d&rsquo;entr&eacute;e en relation d&rsquo;affaires avec les clients, relation le plus souvent nou&eacute;e &agrave; distance d&egrave;s lors qu&rsquo;il s&rsquo;agit de banques (ou d&rsquo;assurances) en ligne ou de n&eacute;obanques [1] . C&rsquo;est presque tous les jours qu&rsquo;il tente de concilier l&rsquo;impossible : un parcours client fluide avec les exigences (qui sont autant d&rsquo;obstacles) de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) ; avec, donc, l&rsquo;imp&eacute;ratif (cat&eacute;gorique) de la connaissance client (au titre de l&rsquo;obligation de vigilance) ou KYC, selon le fameux acronyme, tellement fameux, d&rsquo;ailleurs, qu&rsquo;il tend &agrave; s&rsquo;autonomiser de la LCB-FT elle-m&ecirc;me [2] . La r&egrave;gle commune est connue : &laquo; Avant d&rsquo;entrer en relation d&rsquo;affaires avec leur client ou de l&rsquo;assister dans la pr&eacute;paration ou la r&eacute;alisation d&rsquo;une transaction &raquo;, les &eacute;tablissements assujettis doivent proc&eacute;der en deux temps : ils &laquo; identifient leur client et, le cas &eacute;ch&eacute;ant, le b&eacute;n&eacute;ficiaire effectif &raquo; et &laquo; v&eacute;rifient ces &eacute;l&eacute;ments d&rsquo;identification sur pr&eacute;sentation de tout document &eacute;crit &agrave; caract&egrave;re probant [3] . Mais encore faut-il qu&rsquo;ils &laquo; appliquent des mesures de vigilance compl&eacute;mentaires &agrave; l&rsquo;&eacute;gard de leur client &raquo;, en particulier lorsque &laquo; le client ou son repr&eacute;sentant l&eacute;gal n&rsquo;est pas physiquement pr&eacute;sent aux fins de l&rsquo;identification au moment de l&rsquo;&eacute;tablissement de la relation d&rsquo;affaires &raquo; [4] . On prend d&egrave;s lors connaissance avec grand int&eacute;r&ecirc;t du Compte rendu des travaux d&rsquo;un groupe qui, r&eacute;uni dans le cadre du Forum Fintech ACPR-AMF*, a r&eacute;fl&eacute;chi sur la v&eacute;rification d&rsquo;identit&eacute; &agrave; distance des personnes physiques [5] . Ces travaux sont d&rsquo;autant plus int&eacute;ressants qu&rsquo;ils pourraient &laquo; infuser &raquo; la transposition, en cours de finalisation, des dispositions de la 4e directive LCB-FT bis, cens&eacute;e intervenir d&rsquo;ici au 10 janvier 2020 [6] . Possibilit&eacute; accrue dans la mesure o&ugrave; cette derni&egrave;re modifie assez substantiellement le point a) de l&rsquo;article 13 de la 4e directive [7] : alors que la r&eacute;daction d&rsquo;origine pr&eacute;voyait, sommairement, que les mesures de vigilance &agrave; l&rsquo;&eacute;gard de la client&egrave;le comprennent, notamment, &laquo; l&rsquo;identification du client et la v&eacute;rification de son identit&eacute;, sur la base de documents, de donn&eacute;es ou d&rsquo;informations obtenus d&rsquo;une source fiable et ind&eacute;pendante &raquo;, la nouvelle dispose plus pr&eacute;cis&eacute;ment que &laquo; l&rsquo;identification du client et la v&eacute;rification de son identit&eacute;, sur la base de documents, de donn&eacute;es ou d&rsquo;informations obtenus d&rsquo;une source fiable et ind&eacute;pendante, y compris, le cas &eacute;ch&eacute;ant, les moyens d&rsquo;identification &eacute;lectronique et les services de confiance pertinents pr&eacute;vus par le r&egrave;glement (UE) n&deg; 910/2014 du Parlement europ&eacute;en et du Conseil, ou tout autre processus d&rsquo;identification s&eacute;curis&eacute;, &eacute;lectronique ou &agrave; distance, r&eacute;glement&eacute;, reconnu, approuv&eacute; ou accept&eacute; par les autorit&eacute;s nationales concern&eacute;es &raquo; [8] . L&rsquo;occasion serait ainsi offerte de remodeler le texte de l&rsquo;article R. 561-20 du CMF, objet de toutes les attentions, de celle du groupe de travail en particulier. De l&rsquo;identification &eacute;lectronique. L&agrave; se trouve le nœud du probl&egrave;me ; l&agrave; se noue toute l&rsquo;ambigu&iuml;t&eacute;, sinon l&rsquo;incoh&eacute;rence, d&rsquo;un nouveau droit fran&ccedil;ais de la LCB-FT (issu de la transposition de la 4e directive LCB-FT, d&rsquo;abord par l&rsquo;ordonnance n&deg; 2016-1635 du 1er d&eacute;cembre 2016 puis par le d&eacute;cret n&deg; 2018-284 du 18 avril 2018) [9] qui, d&rsquo;un c&ocirc;t&eacute;, promeut l&rsquo;identification &eacute;lectronique mais, de l&rsquo;autre, ne s&rsquo;en donne pas les moyens (ou, plut&ocirc;t, &agrave; qui les moyens ne sont pas donn&eacute;s). Expliquons-nous : d&rsquo;une part, le recours &agrave; un moyen d&rsquo;identification &eacute;lectronique, au sens du r&egrave;glement eIDAS [10] , vaut &ndash; et vaut &agrave; lui seul, y compris en cas d&rsquo;entr&eacute;e en relation &agrave; distance &ndash; v&eacute;rification de l&rsquo;identit&eacute; du client au sens du 2&deg; du I de l&rsquo;article L. 561-5 du CMF [11] ; mais, d&rsquo;autre part, force est de constater que, de moyen d&rsquo;identification &eacute;lectronique, il n&rsquo;en existe pas et n&rsquo;en existera pas, selon le groupe de travail r&eacute;uni par le Forum Fintech, ni &agrave; court ni &agrave; moyen terme. Il n&rsquo;en existe pas, du moins, au niveau &eacute;lev&eacute; qui est requis. De sorte que l&rsquo;on se trouve face &agrave; une r&eacute;glementation &laquo; mort-n&eacute;e &raquo;, ce qui est malheureux [12] . Il n&rsquo;est qu&rsquo;&agrave; consulter la liste des sch&eacute;mas nationaux d&rsquo;identification eIDAS notifi&eacute;s &agrave; la Commission europ&eacute;enne (Overview of pre-notified and notified eID schemes under eIDAS), on y trouve pr&egrave;s d&rsquo;une quinzaine de pays, &agrave; l&rsquo;exception notable de la France. Pourquoi ? Nous n&rsquo;avons pas de r&eacute;ponse, sinon le constat suivant, fait par le groupe de travail : &laquo; Si des moyens d&rsquo;identification de niveau de garantie &eacute;lev&eacute; sont disponibles dans d&rsquo;autres pays europ&eacute;ens, il n&rsquo;est pas d&eacute;montr&eacute; que ceux-ci soient utilis&eacute;s aux fins de la v&eacute;rification d&rsquo;identit&eacute; par les &eacute;tablissements bancaires &raquo; (p. 6). On est au moins certain, en France, que ces moyens ne sont pas utilis&eacute;s puisqu&rsquo;ils n&rsquo;existent pas. &Eacute;tat des lieux. L&rsquo;&eacute;tat des lieux de la v&eacute;rification d&rsquo;identit&eacute; &agrave; distance doit donc d&eacute;buter par ce constat en forme de carence : la seule mesure qui se suffirait &agrave; elle-m&ecirc;me, en face-&agrave;-face comme &agrave; distance, n&rsquo;est toujours pas disponible en France, sachant que le r&egrave;glement eIDAS date toute de m&ecirc;me de 2014&hellip; Si bien que nous sommes, les uns et les autres, oblig&eacute;s d&rsquo;avoir recours &agrave; deux mesures de vigilance dites &laquo; compl&eacute;mentaires &raquo;, parmi les six pr&eacute;vues &agrave; l&rsquo;article R. 561-20 du CMF. C&rsquo;est l&agrave; qu&rsquo;un deuxi&egrave;me constat s&rsquo;impose, qui ajoute &agrave; la carence l&rsquo;exc&egrave;s de z&egrave;le. Ne boudons pas notre plaisir &agrave; citer un peu longuement le Compte rendu du groupe de travail : &laquo; Il semble que tous les pays n&rsquo;aient pas fait le choix de donner une liste limitative de mesures de vigilance renforc&eacute;es &agrave; appliquer pour les entr&eacute;es en relation &agrave; distance. D&rsquo;autres pays demandent des mesures de vigilance renforc&eacute;es mais laissent les &eacute;tablissements financiers d&eacute;cider du contenu de ces mesures. Ce choix plus ouvert ne semble toutefois pas contraire aux objectifs de la 4e directive LCB-FT et des recommandations du GAFI. Plus g&eacute;n&eacute;ralement, les exigences fran&ccedil;aises en mati&egrave;re de v&eacute;rification d&rsquo;identit&eacute; pour une entr&eacute;e en relation &agrave; distance seraient plus contraignantes que dans les autres pays europ&eacute;ens, pla&ccedil;ant les &eacute;tablissements fran&ccedil;ais dans une situation de &ldquo;concurrence in&eacute;gale&rdquo; face aux &eacute;tablissements agissant sous le r&eacute;gime de la libre prestation de services &raquo; (pp. 6-7) [13] . En mots choisis cela est dit, mais a le m&eacute;rite de l&rsquo;&ecirc;tre. Quelles que soient ses raisons, la France en a trop fait et en fait trop en mati&egrave;re de vigilance, ce qui place nos op&eacute;rateurs financiers dans une situation in&eacute;gale, quand ce ne sont pas les op&eacute;rateurs europ&eacute;ens qui, passeportant sur notre sol par voie de libre &eacute;tablissement, se trouvent rattrap&eacute;s par un droit fran&ccedil;ais antiblanchiment largement &laquo; surjou&eacute; &raquo;. Souhaitons, en cons&eacute;quence, &agrave; l&rsquo;instar du RGPD, un r&egrave;glement g&eacute;n&eacute;ral LCB-FT plut&ocirc;t qu&rsquo;une &eacute;ni&egrave;me directive aux transpositions erratiques [14] ; un texte d&rsquo;application direct, donc, &eacute;ventuellement accompagn&eacute; d&rsquo;un m&eacute;canisme de supervision europ&eacute;enne, ainsi qu&rsquo;en ont appel&eacute; de leurs vœux, le 13 novembre dernier, certains ministres des finances [15] . L&rsquo;&eacute;tat des lieux des mesures de vigilance compl&eacute;mentaires, dress&eacute; par le groupe de travail, conduit &agrave; ce dernier constat, somme toute accablant : des six mesures propos&eacute;es par l&rsquo;article R. 561-20, seules deux, voire trois, seraient praticables et, encore, selon des modalit&eacute;s (s&eacute;curit&eacute;, protection des donn&eacute;es, etc.) &agrave; pr&eacute;ciser (cf. pp. 7-8). Sans compter que l&rsquo;on apprend, finalement, que les moyens d&rsquo;identification &eacute;lectronique de niveau &eacute;lev&eacute; pr&ocirc;n&eacute;s par les 1&deg; et 2&deg; de l&rsquo;article R. 561-5-1 (et valant aussi bien en face-&agrave;-face qu&rsquo;&agrave; distance) se r&eacute;v&eacute;leraient inaccessibles aux &eacute;tablissements financiers et ne pourraient &ecirc;tre d&eacute;velopp&eacute;s que par la puissance publique (p. 10). Le document sous commentaire s&rsquo;ach&egrave;ve par un certain nombre de propositions propres &agrave; rem&eacute;dier aux difficult&eacute;s (c&rsquo;est un euph&eacute;misme) &eacute;videntes de la v&eacute;rification d&rsquo;identit&eacute; &agrave; distance des clients personnes physiques (on n&rsquo;oubliera pas que cela n&rsquo;est pas plus simple s&rsquo;agissant des personnes morales). Celles-ci sont bien s&ucirc;r int&eacute;ressantes, mais encore de l&rsquo;ordre du prospectif. On retiendra que le droit de la LCB-FT souffre peu ou prou du m&ecirc;me mal que celui de l&rsquo;authentification forte sous r&eacute;gime DSP 2 &ndash; dont on apprend que l&rsquo;&eacute;ch&eacute;ance de la migration a &eacute;t&eacute; report&eacute;e du 14 d&eacute;cembre de cette ann&eacute;e au 31 d&eacute;cembre 2020 [16] : la technologie tient la r&eacute;glementation en l&rsquo;&eacute;tat. Pour reprendre une observation figurant dans le dernier rapport annuel d&rsquo;activit&eacute; de Tracfin (2018) : &laquo; La relation &agrave; distance est au cœur du paysage bancaire de demain. Des projets r&eacute;glementaires et technologiques li&eacute;s &agrave; l&rsquo;identit&eacute; num&eacute;rique sont en discussion, et de nouveaux acteurs dits n&eacute;obanques, agr&eacute;&eacute;s en France ou &agrave; l&rsquo;&eacute;tranger, apparaissent sur le march&eacute; fran&ccedil;ais. &raquo; (p. 14) Mais rien n&rsquo;est encore pr&egrave;s. Achev&eacute; de r&eacute;diger le 13 novembre 2019. 1 Cf., &agrave; ce sujet, ACPR, &laquo; &Eacute;tude sur les mod&egrave;les d&rsquo;affaires des banques en ligne et des n&eacute;obanques &raquo;, Analyses et Synth&egrave;ses n&deg; 96, oct. 2018. 2 On attend en effet r&eacute;guli&egrave;rement parler de KYC &laquo; et &raquo; de LCB-FT. 3 CMF, art. L. 561-5, I. &Agrave; quoi s&rsquo;ajoute la prescription de l&rsquo;article L. 561-5-1 : &laquo; Avant d&rsquo;entrer en relation d&rsquo;affaires, les personnes mentionn&eacute;es &agrave; l&rsquo;article L. 561-2 recueillent les informations relatives &agrave; l&rsquo;objet et &agrave; la nature de cette relation et tout autre &eacute;l&eacute;ment d&rsquo;information pertinent. Elles actualisent ces informations pendant toute la dur&eacute;e de la relation d&rsquo;affaires. &raquo; 4 CMF, art. L. 561-10, 1&deg;, auquel fait &eacute;cho l&rsquo;article R. 561-20. 5 Pr&eacute;cisons que le compte rendu de ce groupe de travail n&rsquo;engage ni l&rsquo;ACPR, ni l&rsquo;AMF. 6 Dir. (UE) 2018/843, 30 mai 2018, modifiant la directive (UE) 2015/849 sur la pr&eacute;vention de l&rsquo;utilisation du syst&egrave;me financier aux fns du blanchiment de capitaux ou du financement du terrorisme. 7 Dir. (UE) 2015/849, 20 mai 2015, relative &agrave; la pr&eacute;vention de l&rsquo;utilisation du syst&egrave;me financier aux fns du blanchiment de capitaux ou du financement du terrorisme. 8 De m&ecirc;me, alors que le point c) du 2) de l&rsquo;annexe III de la 4e directive listait parmi les facteurs de risques les &laquo; relations d&rsquo;affaires ou transactions qui n&rsquo;impliquent pas la pr&eacute;sence physique des parties et qui ne sont pas assorties de certaines garanties telles qu&rsquo;une signature &eacute;lectronique &raquo;, sa r&eacute;daction a &eacute;t&eacute; modifi&eacute;e en : &laquo; relations d&rsquo;affaires ou transactions qui n&rsquo;impliquent pas la pr&eacute;sence physique des parties et qui ne sont pas assorties de certaines garanties telles que des moyens d&rsquo;identification &eacute;lectronique, des services de confiance pertinents au sens du r&egrave;glement (UE) no 910/2014 ou tout autre processus d&rsquo;identification s&eacute;curis&eacute;, &eacute;lectronique ou &agrave; distance, r&eacute;glement&eacute;, reconnu, approuv&eacute; ou accept&eacute; par les autorit&eacute;s nationales concern&eacute;es &raquo;. 9 Cf. P. Storrer, &laquo; Lutte antiblanchiment : l&rsquo;av&egrave;nement de la v&eacute;rification d&rsquo;identit&eacute; au moyen de l&rsquo;identification &eacute;lectronique &raquo;, Banque et Droit n&deg; 179, mai-juin 2018, p. 45. 10 R&egrave;gl. (UE) n&deg; 910/2014, 23 juill. 2014, sur l&rsquo;identification &eacute;lectronique et les services de confiance pour les transactions &eacute;lectroniques au sein du march&eacute; int&eacute;rieur. 11 Cf. CMF, art. R. 561-5-1 et R. 561-20. Comp. Rapport du Conseil d&rsquo;orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme (COLB), Analyse nationale des risques de blanchiment de capitaux et de financement du terrorisme en France, sept. 2019, p. 85 : &laquo; Le code mon&eacute;taire et financier prescrit ainsi des mesures garantissant un haut niveau de s&eacute;curit&eacute; pour qu&rsquo;une identification &agrave; distance soit consid&eacute;r&eacute;e &eacute;quivalente &agrave; une identification en face-&agrave;-face. &Agrave; d&eacute;faut, l&rsquo;identification &agrave; distance ne peut &ecirc;tre possible qu&rsquo;&agrave; condition qu&rsquo;elle respecte des mesures compl&eacute;mentaires permettant d&rsquo;assurer l&rsquo;identification du client. &raquo; 12 Comp. ACPR, &Eacute;tude sur les mod&egrave;les d&rsquo;affaires des banques en ligne et des n&eacute;obanques, pr&eacute;cit., p. 5, note 6 : &laquo; Dans l&rsquo;attente d&rsquo;une identit&eacute; num&eacute;rique de niveau &eacute;lev&eacute; en France, l&rsquo;identification et la v&eacute;rification de l&rsquo;identit&eacute; du client appellent des mesures de vigilance compl&eacute;mentaires. &Agrave; partir du 1er octobre 2018, &agrave; la suite de l&rsquo;entr&eacute;e en application du d&eacute;cret n&deg; 2018-284 du 18 avril 2018 renfor&ccedil;ant le dispositif fran&ccedil;ais de lutte contre le blanchiment de capitaux et le financement du terrorisme, un moyen d&rsquo;identification &eacute;lectronique d&eacute;livr&eacute; dans le cadre d&rsquo;un sch&eacute;ma fran&ccedil;ais d&rsquo;identification &eacute;lectronique de niveau de garantie &eacute;lev&eacute; sera &eacute;quivalent &agrave; la pr&eacute;sentation de l&rsquo;original d&rsquo;un document officiel en cours de validit&eacute; comportant sa photographie au regard des obligations relatives &agrave; la LCB-FT (futur article R. 561-5-1 du code mon&eacute;taire et financier). Un tel sch&eacute;ma devra &ecirc;tre au pr&eacute;alable notifi&eacute; &agrave; la Commission europ&eacute;enne en application du r&egrave;glement (UE) n&deg; 910/2014 du Parlement europ&eacute;en et du Conseil du 23 juillet 2014 sur l&rsquo;identification &eacute;lectronique et les services de confiance pour les transactions &eacute;lectroniques au sein du march&eacute; int&eacute;rieur (r&egrave;glement eIDAS). &raquo; 13 Comp. les orientations sur les facteurs de risque du Joint Committee of the European Supervisory Authorities, JC 2017 37, 4 janv. 2018, qui, fortes de 85 pages, sont autrement plus nuanc&eacute;es (trop d&rsquo;ailleurs) que les mesures fran&ccedil;aises. 14 Cf. P. Storrer, Pour un r&egrave;glement g&eacute;n&eacute;ral anti-blanchiment, Revue Internationale du Patrimoine n&deg; 2, juin 2019, p. 21. Comp., depuis, Joint Opinion of the European Supervisory Authorities on the risks of money laundering and terrorist financing affecting the European Union&rsquo;s financial sector, JC 2019 59, 4 oct. 2019, n&deg; 36 : &laquo; The ESAs consider that the EU&rsquo;s financial sector continues to be exposed to ML/TF risks because Member States have transposed EU law into national legislation in different ways. &raquo; 15 Cf. Joint Position Paper by the Ministers of Finance of France, Germany, Italy, Latvia, the Netherlands and Spain, Towards a European Supervisory Mechanism for ML/FT, p. 2 : &laquo; This new supervision function should operate based on a set of harmonized, directly applicable rules. &raquo; 16 Opinion of the European Banking Auhtority on the deadline for the migration to SCA for e-commerce card-based payment transactions, EBA-Op-2019-11, 16 oct. 2019.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Droit des moyens et services de paiement

LCB-FT : de la vérification d’identité à distance des personnes physiques

À propos des réflexions menées par un groupe de travail du Forum Fintech ACPR-AMF sur le sujet épineux de l’entrée en relation d’affaires à distance*.

À retrouver dans la revue

Blockchain/Cryptoactifs

« La DLT peut rendre les marchés
de capitaux plus efficients »

Ressources humaines/Management

Une solution innovante pour lutter contre la discrimination

Nominations

Lazard Frères Banques

Économie

SCPI : est-ce toujours un bon investissement en 2023 ?

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Droit des moyens et services de paiement

LCB-FT : de la vérification d’identité à distance des personnes physiques

À propos des réflexions menées par un groupe de travail du Forum Fintech ACPR-AMF sur le sujet épineux de l’entrée en relation d’affaires à distance*.

À retrouver dans la revue

« La DLT peut rendre les marchés de capitaux plus efficients »

Une solution innovante pour lutter contre la discrimination

Lazard Frères Banques

SCPI : est-ce toujours un bon investissement en 2023 ?

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

« La DLT peut rendre les marchés
de capitaux plus efficients »