Les annonces récentes de la Commission européenne sur la révision du règlement Electronic Identification Authentication and Trust Services (eIDAS 2.0) et le package Anti-Money Laundering (AML) ont notamment pour objectif de doter les citoyens européens d’identités numériques sous leur contrôle, permettant d’accéder à une très large gamme de services et de réaliser des paiements. Certes, le processus législatif des propositions faites par la Commission est loin d’être achevé. Il peut encore amener des changements et de nombreux actes délégués et textes d’application restent à établir. Mais ces propositions bénéficient de l’appui politique du Conseil européen, via les conclusions des Conseils des 1er et 2 octobre (identité numérique européenne) et du 5 novembre 2020 (package AMLR). Cela annonce (sauf surprise) une adoption des textes sans bouleversements majeurs et se traduit par un calendrier de mise en œuvre très ambitieux, tout particulièrement sur le volet eIDAS 2.0.
Ces textes traduisent dans l’environnement réglementaire une triple évolution, induite par le déploiement massif des usages numériques dans les relations entre banques et clients :
- le face-à-face n’est plus la référence en matière d’entrée en relation, car désormais les interactions entre clients et prestataires de services se font nativement en mode distanciel. Traduction concrète : la non-présence physique du client n’est plus identifiée comme un facteur de risque LCB/FT (Lutte contre le blanchiment des capitaux et le financement du terrorisme) dans le futur règlement AML ;
- les attributs remplacent progressivement les documents, permettant ainsi leur communication numérique individualisée et une protection renforcée de la privacy ;
- enfin, l’Europe devient le cadre pertinent pour les spécifications techniques de l’identification numérique, en lieu et place des espaces nationaux, permettant aussi d’atteindre une autonomie et une souveraineté stratégique face aux GAFAM et autres BATX.
L’impact sur les relations clients du secteur bancaire promet d’être significatif : l’évolution des règles du KYC lève ainsi un facteur déterminant de cloisonnement des marchés bancaires dans les activités retail. Et avec les wallets d’identité numérique mis en place par le futur règlement eIDAS 2.0, les banques vont de facto perdre la maîtrise de la gestion des moyens d’authentification de leurs clients. D’où l’importance pour le secteur de bien appréhender les enjeux de ces changements structurels.
I. Des wallets pour (presque) tout faire ?
Le schéma eIDAS actuel, issu du règlement de 2014, affiche deux lacunes majeures : il n’était pas conçu pour les usages du secteur privé – et de ce fait amputé de son principal gisement d’utilisation – et, par ailleurs, il est structurellement dépendant de spécifications techniques nationales disparates limitant l’interopérabilité des schémas d’identité numériques.
Outils de conservation et de distribution d’attributs sécurisé sous le contrôle de leurs titulaires, les wallets sont sans conteste le principal apport du règlement eIDAS 2.0. Ils vont à terme remplacer les schémas d’identification électroniques eIDAS. Ils s’éloignent, dans leur conception, des schémas d’identité fédérés basés sur une gestion centralisée privée ou publique (comme France Connect) et s’orientent vers des solutions décentralisées.
Un outil pour tous les actes digitaux du quotidien
Le projet vise très large. Ces wallets vont permettre l’accès à l’ensemble des services clés de l’économie – services publics bien sûr, mais aussi transport, énergie, banque et finance, santé, sécurité sociale, etc. – ainsi qu’aux plateformes numériques systémiques (en clair les GAFAM), qui ne pourront donc les refuser. Leur déploiement préfigure également la mise en place d’une monnaie numérique de banque centrale (voir encadré).
Ces wallets devront également fonctionner en mode hors-ligne (hors connexion internet de l’utilisateur) et répondre aux critères d’authentification forte requis par la Directive de paiement DSP2 – y compris pour l’établissement d’un lien dynamique – permettant ainsi d’autoriser des paiements avec ou sans contact. Cette exigence vise de fait à les positionner comme vecteurs prioritaires d’identification et d’authentification dans les relations digitales, une situation également reconnue dans le projet de règlement AML. Pour les secteurs d’activité habitués à contrôler les moyens d’authentification de leurs clients, le changement sera donc profond… et sans doute disruptif.
Vers des spécifications techniques co-construites avec le secteur privé
Le projet vise donc – et c’est bienvenu – à construire un ensemble commun de spécifications techniques permettant une accréditation objectivée des wallets eIDAS 2.0, en rupture avec le processus actuel de validation par consensus (revue par les pairs) des schémas d’identité numériques eIDAS bâtis sur des spécifications nationales. On ne peut que souhaiter que cette démarche de co-construction inclue le secteur privé et notamment les établissements bancaires, leur implication étant à notre avis une condition déterminante de réussite.
Enfin, à la différence d’un document d’identité contenant un nombre fixe d’attributs, les wallets eIDAS 2.0 adoptent nativement une approche modulable et ouverte (voir infographie). Cela permet, sous le contrôle complet de leurs utilisateurs, de recevoir, de conserver et de communiquer non seulement des attributs d’identité individuellement sélectionnés mais également des attributs autres que les attributs habituels d’identité, en premier lieu des attributs électroniquement attestés faisant l’objet d’un nouveau service de confiance eIDAS 2.0. Cette évolution vers des solutions de conservation décentralisée des attributs numériques – en pratique sur les terminaux mobiles des utilisateurs – est l’une des innovations majeures du règlement eIDAS 2.0.
À noter que le projet eIDAS 2.0 introduit aussi une exigence nouvelle d’un identifiant unique et persistant qui pose question à l’heure où la surveillance des usages numériques par des acteurs privés ou publics fait débat, ceci d’autant plus que les wallets deviendront l’élément central des interactions digitales des citoyens. Heureusement, des solutions techniques permettent d’assurer une protection efficace en ce domaine, renforcées par des dispositions juridiques du règlement eIDAS 2.0.
II. L’enjeu de l’unification des règles de KYC
Annoncé dans la foulée du règlement eIDAS 2.0 et préparé en concertation avec ses rédacteurs, le package AML comprend trois règlements et une directive. Il redéfinit l’architecture des dispositions LCB/FT en Europe et va bien au-delà de l’harmonisation des règles de KYC, thématique qui nous concernent plus spécifiquement ici. Celle-ci est transcrite dans un projet de règlement AML dont les dispositions, une fois définitivement adoptées, remplaceront celles de la directive AML actuelle et s’appliqueront directement dans les États membres.
Le règlement définit et unifie (enfin !) les attributs requis pour les vérifications d’identité des personnes physiques et morales, sujet qui aujourd’hui relève des États membres. Par ailleurs, il clarifie les conditions dans lesquelles les établissements assujettis pourront réutiliser des données déjà vérifiées en provenance d’autres établissements assujettis (tierce introduction) ou faire appel à des prestataires externes pour la mise en œuvre de leurs process de KYC (externalisation).
Vers l’open data comme source d’information
Sur le premier aspect, l’unification des attributs d’identité requis s’accompagne d’une clarification des sources d’information admises – documents et pièces d’identité correspondant en France à la majorité des cas d’usage, moyens d’identification électroniques et services de confiance (qualifiés) eIDAS, mais aussi reconnaissance de l’accès direct à des sources fiables et indépendantes, solution qui annonce des schémas d’open data. Leurs modalités d’application seront par ailleurs précisées par des standards techniques réglementaires de la future autorité LCB.
La question de la responsabilité
Le projet de règlement confirme également la possibilité pour un établissement assujetti aux règles LCB/FT de réutiliser des attributs d’identité déjà vérifiés par un autre établissement assujetti. Si cette solution était déjà reconnue en France (tierce introduction), elle reste peu pratiquée, en raison notamment des incertitudes juridiques sur les recours en responsabilité dans les situations où, par exemple, une information transmise s’avérerait inexacte. En effet, si la « responsabilité finale » de l’établissement réceptionnaire des informations au regard des règles LCB/FT est bien inscrite dans les textes – recommandations du Groupe d’action financière (GAFI), directive et demain règlement AML –, les conditions d’un éventuel recours à l’encontre de l’établissement attestant de l’information ne sont pas précisées. La clarification apportée au niveau européen est certes bienvenue, mais il n’est pas certain que ses conditions de mise en œuvre, qui demeurent contraignantes, favorisent le développement d’une véritable mutualisation des procédures de KYC, pourtant souhaitable pour renforcer la qualité des process du devoir de vigilance relatif à la clientèle, maîtriser leurs coûts d’exploitation et faire émerger des nouveaux acteurs (KYC utilities).
On notera enfin que l’externalisation du devoir de vigilance relatif à la clientèle fait également l’objet de dispositions plus détaillées (interdiction d’externaliser certains processus décisionnels, exigence d’un accord écrit prévoyant des contrôles réguliers de l’entité assujettie procédant à l’externalisation et principe de responsabilité juridique complète de celle-ci).
Là encore, des dispositions complémentaires émanant de la future autorité LCB viendront préciser la mise en œuvre de ces dispositions, tout particulièrement sur le sujet des rôles et responsabilités des différents acteurs. On constate sur ce point une situation paradoxale car ces process impliquent aujourd’hui de recourir à des acteurs spécialisés déployant des solutions technologiques avancées, de fait hors de portée de la plupart des établissements assujettis – c’est notamment le cas pour la vérification d’identité à distance avec les PVID en France – mais ce sont leurs clients (les établissements assujettis) qui sont pleinement responsables de leur mise en œuvre au regard des principes LCB/FT.
III. De nouveaux rôles pour le secteur bancaire ?
Les changements évoqués ci-dessus, dont on soulignera le caractère structurel, pourraient entraîner de profondes évolutions quant au positionnement des banques dans le futur paysage européen des usages numériques. En effet, au-delà de leur statut de réceptionnaires d’attributs de wallets prévu par les textes – tant pour les processus d’entrée en relation que pour la mise en œuvre des scénarios d’authentification forte –, eIDAS 2.0 nous semble ouvrir de réelles perspectives pour le secteur bancaire, le positionnant comme fournisseur de services numériques et acteur majeur de la digitalisation des relations entre clients et banques.
Cela dit, si ces perspectives sont avérées, elles sont assorties de conditions significatives et impliquent le plus souvent la mise en œuvre de développements non négligeables.
Reprendre la main avec un wallet bancaire
Le premier rôle des banques serait de développer et fournir les applicatifs permettant de déployer un wallet nativement qualifié pour les usages bancaires et répondant aux futurs standards techniques communs mis en œuvre dans le cadre du processus de co-construction des spécifications techniques pour les wallets eIDAS 2.0 (démarche dite de toolbox). C’est sans doute la voie qui sera privilégiée par les acteurs bancaires déjà promoteurs de schémas de BankID, notamment dans les pays nordiques. Toutefois, outre l’exigence de conformité à ces standards techniques, cette approche implique également une reconnaissance officielle par au moins un État membre, préalable indispensable à la certification officielle d’un wallet eIDAS 2.0 au niveau européen. Une deuxième possibilité serait d’agir comme fournisseur d’attributs d’identité pour les wallets eIDAS 2.0.
Celle-ci se heurte toutefois à l’exigence d’un niveau de garantie eIDAS élevé, qui promet d’être fort contraignant sur son volet de vérification d’identité, et nous semble aujourd’hui de fait réservé à des prestataires spécialisés. À titre d’illustration, le récent Référentiel d’exigences pour les prestataires de vérification d’identité à distance de l’Agence nationale de la sécurité des systèmes d’information (ANSII) illustre bien la complexité des enjeux techniques et opérationnels pour le niveau substantiel, aujourd’hui reconnu en France par les textes comme niveau de référence pour les process LCB/FT.
Le vrai changement devrait venir de l’élargissement significatif des services de confiance eIDAS et notamment des attestations électroniques d’attributs visant la certification numérique des diplômes, des qualifications professionnelles, des autorisations, licences et permis divers, mais aussi des « données financières et comptables ». Il y a là un gisement significatif d’activité pour le secteur bancaire dans des domaines aussi divers que la certification numérique de comptes bancaires, de soldes de comptes ou d’attestation d’activités bancaires (par exemple, absence d’incident de paiement sur X mois), mais aussi de nombreuses données collectées par les établissements bancaires dans le cadre de leurs process de KYC. À titre d’illustration du potentiel antifraude de ces certifications, on peut penser à la récente affaire Wirecard, pour laquelle de fausses attestations de comptes bancaires ont joué un rôle déterminant.
Être (ou non) prestataire de services de confiance
Au-delà de ses indéniables attraits, le fait d’agir comme prestaire de services de confiance eIDAS (PSC) n’est pas sans contraintes – il implique notamment une certification et un audit biannuel par un organisme d’évaluation de la conformité chargé de vérifier le respect des normes techniques ETSI applicables, mais aussi une exigence de ségrégation stricte des données attestées électroniquement qui pourrait s’avérer problématique pour les établissements bancaires envisageant ce statut. Toutefois, une perspective est également ouverte avec les « intermédiaires reconnus » auprès desquels les PSC pourront s’alimenter en données qu’ils iront certifier électroniquement. Leur statut n’est pas encore défini mais pourrait ouvrir, à côté de celui plus contraignant de PSC, une deuxième voie d’accès vers la fourniture de services de KYC par le secteur bancaire.
Est-il possible d’aller plus loin et d’envisager que par exemple des attributs de KYC soient directement proposés par le secteur bancaire sur les wallet eIDAS 2.0, à l’instar des attributs attestés électroniquement émis par les PSC ? À ce jour, rien ne permet de l’affirmer, mais rien ne l’interdit explicitement non plus dans le projet de règlement. Ici comme sur de nombreux autres aspects, les mois à venir viendront donner des réponses et corps à cette évolution majeure de la digitalisation des process liés au KYC.
Au-delà de ces considérations techniques, deux questions concrètes restent néanmoins posées pour permettre le développement d’un véritable écosystème d’attestations bancaires tirant parti des règles de KYC harmonisées au niveau européen et du déploiement des wallets eIDAS 2.0 :
- quel modèle économique ? Les wallets eIDAS 2.0 devant être gratuits pour leurs titulaires, comment organiser les flux financiers des utilisateurs finaux d’attributs vers les fournisseurs de ces attributs ;
- quelles modalités de recours en cas de difficulté ? Que se passe-t-il si une donnée attestée se révèle inexacte ?
