L’identification électronique : l’avenir du KYC ?

Articles à la une

L’identification à distance est au coeur de la révolution digitale qui a radicalement bouleversé le paysage du secteur bancaire et financier. Du fait de l’apparition des banques en lignes et des néobanques1)Contrairement à la banque en ligne qui est systématiquement adossée à une banque dite traditionnelle, la néobanque est un établissement de paiement autonome qui propose, en général, des offres exclusivement mobiles. dans les années 2000, les banques traditionnelles ont rapidement saisi l’intérêt de se moderniser afin de retenir les clients les plus digitaux mais aussi d’attirer une nouvelle clientèle. 

Aujourd’hui, les néobanques proposent d’ouvrir un compte bancaire en seulement quelques minutes avec un smartphone ou un ordinateur. Ainsi, de plus en plus de clients potentiels se tournent vers les nouvelles technologies et ces banques dématérialisées qui offrent des services de base à des prix défiants toute concurrence, puisqu’ils sont souvent gratuits. Face à cette dématérialisation de la vérification de l’identité, l’identification électronique représente un enjeu concurrentiel majeur pour l’ensemble des établissements financiers permettant l’entrée en relation à distance. 

 

L’identification électronique au sein de l’Union européenne 

« Une Europe adaptée à l’ère du numérique » est une des six priorités de la Commission européenne pour 2019-20242)A propos des priorités de la Commission européenne : https://ec.europa.eu/info/priorities_fr. En effet, l’Union européenne a fait preuve d’anticipation en adoptant en 2014 le Règlement eIDAS3)Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, Règlement entièrement consacré à la thématique de l’identification électronique, afin de faciliter l’émergence du marché unique numérique. 

Selon l’article 3 1. du Règlement eIDAS, l’identification électronique est « le processus consistant à utiliser des données d’identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale ». Ainsi, un moyen d’identification électronique est « élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier pour un service en ligne » (article 3 2.), par exemple une carte d’identité électronique ou une signature électronique. 

Le Règlement eIDAS cherche à établir un cadre d’interopérabilité4)L’interopérabilité désigne la capacité pour les différents systèmes de fonctionner ensemble et de partager des informations. pour les différents systèmes mis en place au sein des États membres de l’Union européenne. La reconnaissance mutuelle des moyens d’identification électronique entre les Etats membres est ainsi obligatoire depuis le 29 septembre 2018 (selon l’article 52 2. c) du Règlement). En conséquence, plusieurs Etats membres ont d’ores et déjà notifié des schémas d’identification électronique5)Un schéma d’identification électronique est « un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales » (article 3 4. du Règlement eIDAS). De manière plus équivoque, il s’agit du cadre national à partir duquel les moyens d’identification électronique vont être délivrés aux entreprises.
Les schémas d’identification électronique notifiés sont listés à l’adresse suivante : https://ec.europa.eu/cefdigital/wiki/display/ EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS
. 

Le schéma allemand « German eID based on Extended Access Control » fut le premier schéma notifié par un Etat membre. La carte d’identité et le permis de séjour allemands se fondent sur ce schéma et répondent au niveau de garantie élevé selon le Règlement eIDAS. Pour s’identifier, le citoyen insère sa carte eID dans un lecteur de carte ou la place à proximité d’un smartphone compatible. Le citoyen entre le code PIN de sa carte dans l’application eID (installée sur son ordinateur ou son smartphone) qui permettra l’identification au site internet. 

En Belgique, en plus de la carte d’identité électronique, l’application Itsme permet à chaque citoyen qui le souhaite de créer une identité digitale sécurisée et de s’identifier avec celle-ci. En janvier 2020, la société Luxtrust (qui délivre l’identité numérique au Luxembourg) a annoncé un partenariat avec la société belge Itsme dans le but de créer une identité numérique commune et accessible dans les deux pays. 

Une des absentes de la liste reste la France qui commence tout de même à préparer des projets de schémas d’identification (notamment « Mobile Connect et moi » et l’identité numérique de la Poste). De plus, l’ordonnance n°2020-115 et les décrets n°2020-118 et n°2020-119 du 12 février 2020, visant à transposer la cinquième directive LCB-FT, ont assoupli et simplifié la procédure d’entrée en relation à distance qui ne présente désormais plus un risque fort de blanchiment de capitaux au sens du droit français. 

Néanmoins, une interrogation demeure : comment concilier ce Règlement eIDAS avec les règles de lutte contre le blanchiment des capitaux et le financement du terrorisme ? Même si la cinquième directive LCB-FT6)Directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE fait explicitement référence au Règlement dans son considérant 22 ou son article 13, elle reste très vague et laisse une marge de manoeuvre importante aux Etats membres, d’où un risque de disparités dans les législations mais aussi dans les entrées en relation7)Voir à ce sujet : MOUY Stéphane, « Identité numérique et règles LCB-FT : une délicate conciliation », Revue Banque, 2019, n°836, pp. 50-53.. 

 

La sécurisation de l’entrée en relation à distance 

Intégrée dans un processus KYC (Know Your Customer), l’identification électronique offre plusieurs avantages, que ce soit le respect des mesures LCB-FT, l’optimisation du temps nécessaire à l’échange des documents (pour la banque et le client), la réduction des coûts ou l’amélioration de la confiance sur l’origine des documents. 

L’identification électronique permettrait surtout de pallier les risques liés à la vérification d’identité à distance. Parmi ces risques, deux grandes fraudes connues de la LCB-FT sont présentes : l’usurpation d’identité et la fraude documentaire. Les tentatives de fraudes à distance seraient plus nombreuses que lors d’une entrée en relation en face-à-face en raison de la simplicité et de la rapidité du numérique mais aussi de la barrière créée par celui-ci. 

Pour exemple de cette insécurité, l’hebdomadaire économique allemand WirtschaftsWoche a dévoilé des failles de sécurité lors de l’ouverture d’un compte chez la néobanque N26. En effet, il a révélé lors d’une enquête que plusieurs personnes avec des cartes d’identité, aisément reconnaissables comme des contrefaçons, ont réussi à ouvrir un compte chez N268)BERGERMANN Melanie et LITTMANN Saskia, « Einladung zur Geldwäsche » [en ligne], WirtschaftsWoche, 12 octobre 2018.. L’Autorité fédérale allemande de surveillance financière (BaFin) est même intervenue l’année dernière afin que la néobanque prenne des actions spécifiques9)BAFIN, N26 Bank GmbH: Anordnung zur Prävention von Geldwäsche und Terrorismusfinanzierung [en ligne], sur BaFin, 22 mai 2019.. Cela prouve que les systèmes informatiques les plus sécurisés peuvent également montrer des faiblesses. 

La sécurisation est recherchée par les acteurs du secteur bancaire, et plus particulièrement par les néobanques. En effet, dans une étude d’octobre 201810)ACPR, Etude sur les modèles d’affaires des banques en ligne et des néobanques, n°96, octobre 2018., l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) française a relevé que « dans la mesure où l’entrée en relation se fait à distance, [les acteurs bancaires] doivent aussi faire preuve d’une vigilance particulière en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme. En ce domaine, si les nouveaux acteurs font déjà appel aux nouvelles technologies pour sécuriser les conquêtes de nouveaux clients, ils attendent aussi de pouvoir s’appuyer sur un dispositif d’identité numérique de niveau élevé en France ». 

Néanmoins, l’identification électronique a ses limites et la carte d’identité électronique en est un exemple : le système de carte d’identité eID peut faire l’objet de vulnérabilités exploitables par des pirates informatiques, comme l’a démontré un cabinet de conseil européen pour le cas de l’Allemagne11)ETTLINGER Wolfgang, « My name is Johann Wolfgang Von Goethe – I can prove it » [en ligne], SEC Consult, 20 novembre 2018., ou révéler des failles sécuritaires, comme celle ayant touché les 750 000 cartes d’identité en Estonie12)MCNAMEE Joe, « Estonian eID cryptography mess – 750 000 cards compromised » [en ligne], sur European Digital Rights, 15 novembre 2017. (soit près de la moitié de la population estonienne).

De plus, comme a pu le souligner cette fois le Forum Fintech ACPR-AMF13)Ce groupe de travail, piloté par le Pôle Fintech-Innovation de l’ACPR pour étudier les problématiques soulevées par les nouvelles technologies dans le secteur financier, réunit des représentants d’établissements financiers, de fournisseurs technologiques spécialisés dans la vérification d’identité ainsi que les autorités publiques françaises concernées. dans son compte-rendu de septembre 201914)Forum Fintech ACPR-AMF, Groupe de travail sur la vérification de l’identité à distance des personnes physiques, Compte-rendu des travaux, 20 septembre 2019., les modalités de vérification d’identité électronique ne sont pas accessibles aux établissements financiers en raison des coûts de développement et de contraintes juridiques fortes. Ainsi, seule la puissance publique peut créer et développer des moyens d’identification électronique de niveau substantiel ou élevé répondant aux normes européennes. Retour au postulat initial du Règlement eIDAS. 

Ainsi, l’identification électronique est encore en construction. Si les fondements sont en place, la structure cherche à être achevée. Cela est d’autant plus vrai dans le secteur bancaire et financier, où la vérification de l’identité par la numérisation de documents d’identité reste d’actualité. Cependant, il ne fait aucun doute que nous pourrons bientôt ouvrir un compte bancaire et s’identifier par visioconférence ou avec une simple carte d’identité électronique. 

References
1 Contrairement à la banque en ligne qui est systématiquement adossée à une banque dite traditionnelle, la néobanque est un établissement de paiement autonome qui propose, en général, des offres exclusivement mobiles.
2 A propos des priorités de la Commission européenne : https://ec.europa.eu/info/priorities_fr
3 Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
4 L’interopérabilité désigne la capacité pour les différents systèmes de fonctionner ensemble et de partager des informations.
5 Un schéma d’identification électronique est « un système pour l’identification électronique en vertu duquel des moyens d’identification électronique sont délivrés à des personnes physiques ou morales, ou à des personnes physiques représentant des personnes morales » (article 3 4. du Règlement eIDAS). De manière plus équivoque, il s’agit du cadre national à partir duquel les moyens d’identification électronique vont être délivrés aux entreprises.
Les schémas d’identification électronique notifiés sont listés à l’adresse suivante : https://ec.europa.eu/cefdigital/wiki/display/ EIDCOMMUNITY/Overview+of+pre-notified+and+notified+eID+schemes+under+eIDAS
6 Directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE
7 Voir à ce sujet : MOUY Stéphane, « Identité numérique et règles LCB-FT : une délicate conciliation », Revue Banque, 2019, n°836, pp. 50-53.
8 BERGERMANN Melanie et LITTMANN Saskia, « Einladung zur Geldwäsche » [en ligne], WirtschaftsWoche, 12 octobre 2018.
9 BAFIN, N26 Bank GmbH: Anordnung zur Prävention von Geldwäsche und Terrorismusfinanzierung [en ligne], sur BaFin, 22 mai 2019.
10 ACPR, Etude sur les modèles d’affaires des banques en ligne et des néobanques, n°96, octobre 2018.
11 ETTLINGER Wolfgang, « My name is Johann Wolfgang Von Goethe – I can prove it » [en ligne], SEC Consult, 20 novembre 2018.
12 MCNAMEE Joe, « Estonian eID cryptography mess – 750 000 cards compromised » [en ligne], sur European Digital Rights, 15 novembre 2017.
13 Ce groupe de travail, piloté par le Pôle Fintech-Innovation de l’ACPR pour étudier les problématiques soulevées par les nouvelles technologies dans le secteur financier, réunit des représentants d’établissements financiers, de fournisseurs technologiques spécialisés dans la vérification d’identité ainsi que les autorités publiques françaises concernées.
14 Forum Fintech ACPR-AMF, Groupe de travail sur la vérification de l’identité à distance des personnes physiques, Compte-rendu des travaux, 20 septembre 2019.