Nouveaux moyens de paiement, banque digitale et protection des données : Lutte antiblanchiment : l’avènement de la vérification d’identité au moyen de l’identification électronique

Une si longue attente. La transposition de la 4e directive antiblanchiment [1] s’achève enfin (ou presque, des arrêtés devraient suivre) avec la publication du décret n° 2018-284 du 18 avril 2018 renforçant le dispositif français de lutte contre le blanchiment de capitaux et le financement du terrorisme [2] . On déplore souvent le phénomène de surproduction législative (ou réglementaire), moins le déficit des textes d’application d’une réforme. Il aura donc fallu attendre plus de seize mois [3] pour que la transposition législative de la directive européenne, par une ordonnance du 1er décembre 2016 [4] , soit assortie de ses dispositions réglementaires (CMF, art. R. 561-1 et s.), applicables pour la plupart au 1er octobre 2018. Cependant que, parallèlement, l’Autorité de contrôle prudentiel et de résolution (ACPR) publie de nouvelles versions de ses documents de doctrine, tenant compte [5] , ou pas [6] , du décret du 18 avril 2018.
De l’identification électronique. Le décret sous commentaire consacre de manière spectaculaire le recours à l’identification électronique du client, dont le cadre a été posé par le règlement « eIDAS » [7] ; identification électronique définie comme « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale » (art. 3, 1), tandis qu’un moyen d’identification électronique s’entend d’« un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne » (art. 3, 2). On observe que ces définitions ont été reprises littéralement à l’article L. 102 du Code des postes et des communications électroniques, dans sa rédaction issue de l’ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques. Article 102 dont on retiendra par ailleurs que « la preuve de l’identité aux fins d’accéder à un service de communication au public en ligne peut être apportée par un moyen d’identification électronique », lequel « est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information, fixé par décret en Conseil d’État ».

Identification et vérification d’identité. « Avant d’entrer en relation d’affaires avec leur client ou de l’assister dans la préparation ou la réalisation d’une transaction, les personnes mentionnées à l’article L. 561-2 : 1° Identifient leur client et, le cas échéant, le bénéficiaire effectif au sens de l’article L. 561- 2-2 ; 2° Vérifient ces éléments d’identification sur présentation de tout document écrit à caractère probant », dispose le I de l’article L. 561-5 du Code monétaire et financier (CMF).
À ceux qui l’auraient oublié, le décret du 18 avril 2018 rappelle que les obligations de vigilance à l’égard de la clientèle (volontiers nommées « KYC ») sont à la fois d’« identification » et de « vérification » de l’identité du client ou du bénéficiaire effectif (dont le régime s’enrichit notablement de plusieurs dispositions). Ce rappel est en effet inscrit aux intitulés des différentes sous-sections qui composent la section 3 relative aux « obligations de vigilance à l’égard de la clientèle » (CMF, art. R. 561-5 et s.), où le terme « identification » est systématiquement doublé par celui de « vérification » [8] . Cette pédagogie est bienvenue, dans la mesure où, en pratique, ce sont bien les mesures de vérification dont la mise en oeuvre est (était ?) délicate.
Commentaire de textes. Dorénavant, en écho aux points 1° (avant d’entrer en relation d’affaires, la personne assujettie identifie son client et, le cas échéant, le bénéficiaire effectif ) et 2° (elle vérifie ces éléments d’identification sur présentation de tout document écrit à caractère probant) du I de l’article L. 561-5 du CMF, ce n’est plus un texte (l’article R. 561-5 existant, placé dans une sous-section relative à l’« identification du client ») mais deux qui traitent, le premier de l’identification (article R. 561-5), le second de la vérification de l’identité du client (article R. 561-5-1). C’est ce dernier qui retiendra notre attention, dès lors qu’il intègre pour la première fois au droit de la lutte antiblanchiment les moyens d’identification électronique en tant que mesures standards de vérification de l’identité (d’authentification au sens de la DSP 2, en somme). Nous y ajouterons l’article R. 561-20 qui, au titre des mesures de vigilance complémentaires dans le cas d’une entrée en relation d’affaires à distance, mérite une certaine explication de texte.

Vérification standard de l’identité (CMF, art. R. 561-5-1). Avant d’entrer en relation d’affaires avec celui-ci, les personnes assujetties à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) vérifient donc les éléments d’identification de leur client sur présentation de tout document écrit à caractère probant (CMF, art. L. 561-5, I, 2°), en faisant application du texte suivant :

« Pour l’application du 2° du I de l’article L. 561-5, les personnes mentionnées à l’article L. 561-2 vérifient l’identité du client selon l’une des modalités suivantes :
1° En recourant à un moyen d’identification électronique délivré dans le cadre d’un schéma français d’identification électronique notifié à la Commission européenne en application du paragraphe 1
de l’article 9 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, ou d’un schéma notifié par un autre État membre de l’Union européenne dans les mêmes conditions et dont le niveau de garantie correspond au niveau de garantie élevé fixé par l’article 8 de ce même règlement ;
2° En recourant à un moyen d’identification électronique présumé fiable au sens de l’article L. 102 du code des postes et des communications électroniques ;
3° Lorsque le client est une personne physique, par la présentation de l’original d’un document officiel en cours de validité. […] ». Outre la dissociation entre identification et vérification, l’ancienne formule de l’article R. 561-5 (présentation d’un document officiel en cours de validité comportant sa photographie pour une personne physique ; communication de l’original ou de la copie de tout acte ou extrait de registre officiel pour une personne morale) est ainsi précédée par la faculté de recourir à un moyen d’identification électronique, tel que prévu par le règlement eIDAS ou au sens de l’article 102 du Code des postes et télécommunications électroniques. C’est là une innovation majeure, le KYC digital fait son entrée dans le droit de la LCB-FT, il faut s’en féliciter [9] .
Vérification de l’identité à distance (CMF, art. R. 561-20). On le sait, et cela est une réelle difficulté pour les acteurs de la banque en ligne et des FinTechs : des mesures de vigilance complémentaires, qui sont autant de difficultés semées sur le « parcours client », doivent être mises en oeuvre lorsque le client ou son représentant légal n’est pas physiquement présent aux fins de l’identification au moment de l’établissement de la relation d’affaires (CMF, art. L. 561-10, 1°) :
« Pour l’application du 1° de l’article L. 561-10, et lorsque les mesures prévues aux 1° et 2° du R. 561-5-1 ne peuvent être mises en oeuvre, les personnes mentionnées à l’article L. 561-2 vérifient l’identité de leur client en appliquant au moins deux mesures parmi les suivantes :
1° Obtenir une copie d’un document mentionné aux 3° à 5° de l’article R. 561-5-1 ainsi que d’un document justificatif supplémentaire permettant de confirmer l’identité du client ;
2° Mettre en oeuvre des mesures de vérification et de certification de la copie d’un document officiel ou d’un extrait de registre officiel mentionné aux 3° à 5° de l’article R. 561-5-1 par un tiers indépendant de la personne à identifier ;
3° Exiger que le premier paiement des opérations soit effectué en provenance ou à destination d’un compte ouvert au nom du client auprès d’une personne mentionnée aux 1° à 6° bis de l’article L. 561-2 établie dans un État membre de l’Union européenne ou dans un État partie à l’accord sur l’Espace économique européen ou dans un pays tiers imposant des obligations équivalentes en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme et figurant sur une liste établie par arrêté du ministre chargé de l’économie ;
4° Obtenir directement une confirmation de l’identité du client de la part d’un tiers remplissant les conditions prévues au 1° ou au 2° du I de l’article L. 561-7 ;

5° Recourir à un moyen d’identification électronique délivré dans le cadre d’un schéma français d’identification électronique notifié à la Commission européenne en application du paragraphe 1 de l’article 9 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ou d’un schéma notifié par un autre État membre de l’Union européenne dans les mêmes conditions, dont le niveau de garantie correspond au niveau de garantie substantiel fixé par ce même règlement ;
6° Recueillir une signature électronique avancée ou qualifiée ou un cachet électronique avancé ou qualifié valide reposant sur un certificat qualifié comportant l’identité du signataire ou du créateur de cachet et délivré par un prestataire de service de confiance qualifié inscrit sur une liste de confiance nationale en application de l’article 22 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. […] ».
L’article R. 561-20 nouveau apporte cet enseignement immédiat qu’il ajoute deux mesures complémentaires par rapport à la version précédente, deux mesures électroniques donc : soit le recours à un moyen d’identification électronique dans les termes de l’article 9, 1 du règlement eIDAS, soit le recueil d’une signature ou d’un cachet électroniques avancés en application de l’article 22 dudit règlement. Deux nouveautés encore : deux mesures complémentaires sont exigées, qu’il y ait ou non ouverture d’un compte [10] ; parmi les six mesures désormais proposées, l’assujetti choisit celles qui, « combinées entre elles, permettent la vérification de tous les éléments d’identification du client mentionnés à l’article R. 561-5 » (CMF, art. R. 561-20, al. 8). Mais un membre de phrase fait problème dans ce texte, cette incise où il est dit entre deux virgules : « et lorsque les mesures prévues aux 1° et 2° du R. 561-5-1 ne peuvent être mises en oeuvre ». Car si nous lisons bien, cela reviendrait à énoncer que les mesures standards « du R. 561-5-1 » (sic) suffisent, même en cas de risque élevé de blanchiment de capitaux ou de financement du terrorisme liés à une entrée en relation à distance. Bigre, ce serait une sacrée nouveauté ! Sauf que si elles suffisent, pourquoi reprendre au point 5° de l’article R. 561-20 le moyen d’identification électronique du point 1° de l’article R. 561-5-1 ?
Et donc ? Hormis l’interrogation ci-dessus (nous ne doutons pas qu’il y en ait d’autres), la question se pose, en pratique, de savoir de quels moyens d’identification électronique nous disposons à ce jour afin de réaliser un KYC digital des clients. Existe-t-il d’ores et déjà un schéma français (ou d’un autre État membre) d’identification électronique délivré en application du règlement eIDAS ? Le décret en Conseil d’État prévu par l’article 102 du Code des postes et communications électroniques a-t-il été pris afin que l’Autorité nationale de sécurité des systèmes d’information (ANSSI) puisse établir un cahier des charges ? Il semble que pas encore ; que l’on attende toujours les spécifications techniques qui permettront de vérifier électroniquement l’identité d’une personne.
À telle enseigne que, lorsque l’on se tourne vers le site de l’ANSSI, on apprend que le référentiel d’exigences applicables aux moyens d’identification électronique délivrés dans le cadre de schémas d’identification électronique notifiés par la France sera « prochainement » mis en ligne. Qui se souvient encore de ses leçons, à la petite école, sur la concordance des temps, sera perplexe devant les hoquets de la mise en oeuvre du droit antiblanchiment nouveau

Achevé de rédiger le 15 mai 2018.

1 Dir. (UE) 2015/849, 20 mai 2015, relative à la prévention de l’utilisation du système financier aux fins de blanchiment de capitaux ou du financement du terrorisme. 2 Précédé par le décret n° 2018-264 du 9 avril 2018 relatif au dispositif de gel des avoirs, pris pour l’application de l’ordonnance n° 2016-1575 du 24 novembre 2016 portant réforme du dispositif de gel des avoirs. 3 Cf. P. Storrer, Quand le droit de la lutte antiblanchiment marche sur une jambe, RD bancaire et fin. n° 2, mars-avril 2018, p. 87. 4 Ord. n° 2016-1635, 1er déc. 2016, renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme, précédée par Ord. n° 2016-1575, 24 nov. 2016, portant réforme du dispositif de gel des avoirs, sur lesquelles voir P. Storrer, Le nouveau dispositif français de lutte contre le blanchiment et le financement du terrorisme, Revue Banque n° 803-804, janv. 2017, p. 145. 5 Cf. ACPR, Lignes directrices relatives aux personnes politiquement exposées (PPE), 20 avr. 2018, et Principes d’application sectoriels relatifs aux obligations de lutte contre le blanchiment des capitaux et le financement du terrorisme dans le cadre du droit au compte, 25 avr. 2018. 6 Cf. Lignes directrices conjointes de l’ACPR et de TRACFIN sur les obligations de déclaration et d’information à TRACFIN, version actualisée avec mise à jour des dispositions législatives au 15 février 2018. 7 Règl. (UE) n° 910/2014, du 23 juill. 2014, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. 8 Voir encore CMF, art. R. 561-11 : « Lorsque les personnes mentionnées à l’article L. 561-2 ont de bonnes raisons de penser que l’identité de leur client et les éléments d’identification précédemment obtenus ne sont plus exacts ou pertinents, elles procèdent de nouveau à l’identification du client et à la vérification de son identité conformément aux articles R. 561-5 et R. 561-5-1 et, le cas échéant, à l’identification et à la vérification de l’identité de son bénéficiaire effectif conformément à l’article R. 561-7 ». 9 Cf. P. Storrer, Pour la reconnaissance du KYC digital, RTDF n° 2, 2016, p. 64. 10 Cf. CMF, art. 561-20, I, ancien : « Avant d’entrer en relation d’affaires, dans les cas prévus aux 1° et 3° de l’article L. 561-10, les personnes mentionnées à l’article L. 561-2 appliquent, en sus des mesures prévues aux articles L. 561-5 et L. 561-6, au moins l’une des mesures de vigilance complémentaires suivantes ou deux de ces mesures s’il s’agit de l’ouverture d’un compte […] ».