Des acteurs de l’open banking (OP) proposent de l’utiliser comme un outil complémentaire de vérification de l’identité des clients des assujettis à la lutte contre le blanchiment le financement du terrorisme (LCB-FT). Que peut-on objecter à l’idée de leur donner dans le contexte de flux de paiement un moyen supplémentaire et peu onéreux pour rendre plus fluide l’enrôlement et lutter contre des situations de blanchiment et de clients, en particulier dans le cadre des services bancaires et de paiement à distance ?
En pratique, après avoir recueilli les documents justificatifs d’identité requis selon la politique et classification du risque LCB-FT du client, une banque en ligne obtient d’un internaute en demande de services bancaires qu’il consente à partager la lecture de ses données bancaires, y compris les attributs d’identité figurant dans les interfaces de programmation (API) mises à disposition par l’établissement teneur de compte de l’internaute. La banque peut ainsi vérifier que l’internaute est bien le titulaire du compte bancaire agrégé. Plus généralement, l’idée est de permettre à tout assujetti LCB-FT de vérifier qu’un client dûment identifié est bien titulaire du compte de provenance des fonds. La légitimité de cette demande découle de son obligation LCB-FT de vérifier qu’il y a identité entre acheteur et payeur.
Aujourd’hui, dans le cadre d’une relation à distance, les établissements assujettis à la LCB-FT exigent souvent à titre de mesure complémentaire qu’un paiement soit effectué depuis un compte ouvert au nom du client auprès d’une banque européenne ou d’un pays tiers équivalent 1. Or, plus que le paiement, c’est le mécanisme d’authentification forte du client issu des textes sur les services de paiement qui donne du crédit à la vérification d’identité.
Le nouveau Règlement européen AML2 dispose que les informations, documents et données requises pour la vérification (i) imposent « l’obtention d’informations en provenance de sources fiables et indépendantes, consultées directement ou fournies par le client »3 ; et (ii) doivent être harmonisées dans des normes techniques de réglementation (RTS) ; celles-ci doivent préciser le champ des « sources d’information fiables et indépendantes qui peuvent être utilisées pour vérifier les données d’identification des personnes physiques ou morales »4.
Or les normes ouvertes communes et sécurisées de communication par lesquelles les prestataires de l’OP (les agrégateurs) accèdent aujourd’hui aux données bancaires des clients via les API « DSP2 »5 font assurément partie des « sources fiables et indépendantes » visées par le Règlement AML. L’Autorité de lutte contre le blanchiment et le financement du terrorisme (l’AMLA) fraîchement créée se positionnera-t-elle en faveur de l’usage de l’OP comme outil de vérification d’identité ?
Standards techniques
Si l’authentification forte liée au paiement d’un client légitime effectivement la solution de vérification privilégiée, alors l’OP est tout autant légitime à être reconnu comme outil de vérification d’identité puisqu’il dépend tout autant de l’authentification forte.
Peut-on pour autant en conclure que l’utilisation de l’OP atteint les standards suffisants de vérification de l’identité qui imposent la vérification des attributs d’identité des personnes physiques ? L’OP étant un processus reconnu en Europe, en tant qu’issu de « sources fiables et indépendantes », force est de constater que les informations contenues dans les API disposent rarement de tous les attributs attendus. Si leur accessibilité technique est bien prévue par les normes techniques des grands acteurs de l’OP tels que STET6, le socle de données prévu par le Scheme SPAA7 ouvre le champ à un nombre moins important d’attributs. S’agissant du payeur, seulement deux attributs sont disponibles (nom et date de naissance), sachant que le SPAA impose par ailleurs de renseigner l’adresse et le numéro de téléphone du payeur. D’autres textes gouvernant cette question mériteraient un alignement sur le sujet8.
En outre, si l’AMLA entend considérer que l’OP peut constituer un outil de vérification de l’identité dans certains cas d’usage, elle aura à travailler de concert avec l’Autorité bancaire européenne (EBA) et d’autres organismes européens tels que le Conseil européen des paiements (EPC). En effet, dans un avis de 2018, l’EBA a affirmé à propos de l’OP que l’étendue des données à partager avec les agrégateurs « n’inclut pas l’identité de l’utilisateur des services de paiement [...] étant donné qu’il ne s’agit pas de données qui sont nécessaires ou demandées pour initier un paiement ou accéder aux informations du compte dans le cadre de la DSP2 »9. Une position historique peu encourageante pour faire de l’OP un outil de vérification d’identité. En outre, certains considèrent que l’ajout de l’ensemble des attributs d’identité dans l’API pourrait alimenter la fraude par usurpation d’identité.
On objectera toutefois aux détracteurs que (i) le nom et l’IBAN, qui font partie des données des API, sont certes des données sensibles mais ne sont pas aujourd’hui considérés comme telles pour les besoins de l’accès des agrégateurs aux API10 et que (ii) l’agrégateur qui se connecte souhaite seulement se voir confirmer que le titulaire du compte bancaire et la personne déjà identifiée par l’assujetti LCB-FT mandant ne font qu’un.
Ainsi, faire de l’open banking un outil de vérification d’identité pourrait être une voie complémentaire à la future identité numérique européenne. Mais surtout, l’avenir de l’OP peut dépasser les divisions ayant accompagné son déploiement en 2017, à travers la création de cas d’usage renforçant son attractivité. L’idée soutenue n’est d’ailleurs pas totalement novatrice puisque le superviseur bancaire français (ACPR) s’y est intéressé au cours de l’année 2022, dans le cadre de travaux de sa commission consultative sur la LCB-FT et certains agrégateurs du marché français revendiquent ouvertement dans leur démarche commerciale le fait que l’OP peut concourir à la vérification de l’identité, limiter la fraude et faciliter l’enrôlement des clients.
Un tel déploiement de l’OP ne serait certes pas un long fleuve tranquille, compte tenu des nombreux points d’attention et critiques potentielles. Mais pourquoi se priver d’un outil additionnel et déjà bien connu en Europe, pour l’efficacité de la LCB-FT et la lutte contre la fraude ? La question se pose.
