Menu

Etat des lieux LCB-FT en Europe, quelles sont les solutions KYC disponibles?

La lutte contre la fraude, le blanchiment d’argent et le financement du terrorisme demeure une volonté européenne de longue date. Les Directives Européennes de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) se sont succédées depuis près de 30 ans afin d’offrir aux entreprises sujettes aux risques de fraude un cadre réglementaire renforçant les procédures d’identification de leurs clients à distance. A l’aube du « portefeuille européen » (Digital Identity Wallet), et dans le contexte d’une digitalisation accrue, faisons le point sur le paysage réglementaire européen actuel et dressons le panorama des solutions existantes pour satisfaire les exigences KYC, en attendant une harmonisation souhaitée.
Lcb-ft

EU : un contexte réglementaire confus / fragmenté


En 2020, la 5ème Directive LCB-FT a pris en considération les évolutions du marché et les nouveaux usages numériques. Elle a imposé à l’ensemble des acteurs concernés (banques, fintech, mais aussi télécommunications et jeux d’argents en ligne) de renforcer la vérification d’identité lors du processus KYC à distance en précisant les mesures à mettre en œuvre dans ce contexte, répondant ainsi à l’évolution des usages de plus en plus numériques.

Cependant, et parce qu’il s’agit de Directive Européenne, chaque état membre a interprété cette directive en la transposant en droit national. Cette situation a mené de facto à une hétérogénéité des transpositions et, inévitablement, à une hétérogénéité en matière d’exigences requises par chaque régulateur national. « Nombres rapports ont montré les écarts d’application de la réglementation entre les différents Etats membres de l’UE. » Ces divergences d’exigences s’expriment dans les différentes solutions d’identification disponibles sur le marché, selon les pays et selon les régulateurs. Par exemple, la BAFIN (Allemagne) et la SEPBLAC (Espagne) recommandent la vérification hybride quand d’autres pays ont rendu obligatoire le processus de signature électronique qualifiée. Ces interprétations différentes ont conduit à l’apparition de 4 famille de solutions :

  • La signature électronique qualifiée
  • Les solutions de vérification 100% automatique
  • Les solutions de vérification hybrides (automatique + vidéo identité ou vérification manuelle)
  • Les solutions d’identité numérique eIDAS

Pour complexifier encore les choses et en ce qui concerne les solutions de vérification, le souci est qu’aucun cadre de normalisation ne définit les minimums requis pour une solution d’identification.

C’est ici que l’on peut faire un constat à mi-parcours : le paysage européen de la vérification d’identité à distance est pour le moins morcelé. Chaque acteur se trouve dans une position incommodante : les régulateurs nationaux sont peu guidés par l’Europe, les fournisseurs sont libres de vendre des solutions sans véritable cadre, et les entreprises soumises à régulation doivent choisir la meilleure solution parmi différentes offres non normées, pas toujours disponibles et ne bénéficient malheureusement d’aucune recommandation pour faire leur choix.

Un paysage réglementaire complexe, une certification qui fait défaut : un terreau fertile à la fois pour les risques encourus et un manquement au respect des obligations


L’Harmonisation se met en place avec la France, en pays précurseur


L’harmonisation européenne devient urgente : la digitalisation modifie en profondeur les usages sociétaux et les risques inhérents, notamment la fraude et les vols d’identité, croissent à la même vitesse. C’est dans ce contexte, et en espérant prendre les devants, que la France (ANSSI) a publié un standard en mars 2021, le référentiel PVID (prestataire de vérification d’identité à distance), en réponse à la directive publiée par la Direction Générale du Trésor. Ce référentiel détaille le minimum d’exigences techniques et organisationnelles à atteindre pour une solution d’identification requises dans le cadre du LCB-FT (mesure n°5). Ce référentiel vise à attribuer aux fournisseurs de solutions de vérification une certification (PVID) et permet aux entreprises régulées de savoir à quelle solution faire appel. Mais cette initiative reste valable en France uniquement.

Qu’en est-il au niveau de l’UE ? La volonté européenne s’inscrit clairement pour une uniformisation et une simplification de la définition de la vérification d’identité à distance. C’est dans ce contexte que l’ETSI (European Telecommunications Standards Institute) a lancé un groupe de travail en vue de normaliser la définition et l’appréciation des services de vérification d’identité à distance et a publié en Juillet 2021, le standard ETSI 119 461. Ainsi, la vérification d’identité à distance y est définie et présente un minimum requis d’exigences dans le but d’obtenir un niveau de service homogène sur le territoire UE. Seul petit bémol, à ce jour, aucun texte réglementaire ne fait référence à cette norme 119 461

A ce stade, les lignes commencent tout de même à bouger. Certains pays, comme la France, prennent de l’avance et posent les fondations d’un cadre réglementaire rassurant et sécurisant, très attendu par les fournisseurs de solutions, les entreprises assujetties et les régulateurs. Mais la route vers l’harmonisation européenne est encore longue et les disparités trop nombreuses.

Ce qui est prévu pour demain


A l’horizon 2025, la Directive LCB-FT devrait être remplacée par un Règlement Européen AML-R (Anti Money Laundering Regulation). Un Règlement  contrairement à une Directive, implique une application à l’échelle européenne sans passer par la case transposition (tout comme le RGPD). Tous les Etats Membres (EM) devront donc suivre les exigences sans aucune distinction et les difficultés issues des disparités nationales disparaitront. En outre, la Commission Européenne annonce la « création d’une nouvelle autorité de l’UE dans le domaine de la lutte contre le blanchiment de capitaux ». Cette nouvelle autorité centrale, AMLA pour Anti Money Laundering Authority, sera chargée de la coordination entre les agences nationales de régulation et permettra la convergence en matière de lutte contre la fraude et de respect des normes et exigences, garantissant que le secteur privé applique correctement et de manière cohérente les règles de l’UE.

Objectif 1 : Un seul Règlement pour tous les EM, une coordination unique,
harmonisée et organisée selon un cadre défini au niveau européen


Parallèlement, L’Europe publiera en 2022 le Règlement eIDAS 2.0, qui « vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne ». Cela signifie qu’eIDAS 2.0 offrira un cadre harmonisé et des définitions relatives aux schémas d’identité numérique. Le EU Wallet y sera défini en s’appuyant certainement en ce qui concerne le moyen d’identification à distance sur le standard EU ETSI 119 461. Ainsi, demain, l’Europe proposera un cadre unique normalisé pour tous les Etats Membres sur la partie identification à distance.

Du côté d’ARIADNEXT, nous proposerons une identité électronique, de niveau substantiel, reconnue par eIDAS, définie par le Standard ETSI et citée dans le Règlement AML.

Objectif 2 : Des solutions d’identification à distance normalisées et reconnues

En attendant, que faire ?


Pour être conforme aux exigences LCB-FT et en attendant un schéma d’identification unique, certifié et de niveau substantiel, plusieurs solutions existent comme le micro-paiement, une solution certifiée comme le futur PVID ou encore la signature électronique qualifiée. Mais parmi ces mesures de vigilance, certaines peuvent être considérées comme ardues dans leur intégration, contraignantes sur le processus d’embarquement des utilisateurs finaux, n’adressant pas tous les publics, ou tout simplement en n’étant pas encore disponible comme la solution PVID.

À l’heure actuelle, une solution est déjà disponible, largement répandue dans les mesures de vigilance requises par les Régulateurs européens, y compris en France : la signature électronique qualifiée. Habituellement fondée sur une vérification d’identité faite en face à face ou équivalent, la signature électronique qualifiée offre un parcours 100% digital.

C’est ce nouveau dispositif qu’ARIADNEXT/IDNOW propose à ses clients. Certifiée par un organisme agréé, la solution AutoIdent+QES répond totalement aux exigences de l’ACPR en offrant une réponse adaptée à la mesure de vigilance n°6, à savoir, une signature électronique de niveau qualifiée. Facilement intégrable, elle permet aux entreprises assujetties d’adresser leurs services en toute conformité, à tous types de publics (même non-bancarisés) et délivre un parcours utilisateur complet, fluide et rapide, avec un processus d’embarquement de moins de 10 minutes durant lequel l’utilisateur prouve son identité. Autre atout qu’il est essentiel de mentionner, cette solution est alignée sur les standards ETSI 119 461 ; elle demeurera par conséquent un moyen d’identification électronique accepté dans le futur AML-R.

Envie d'en savoir plus?

Nous serions ravis de discuter de votre projet.

Partager ce post

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Articles associés

Mobilite Experience Digitale Onboarding
Expérience client

Mobilité : comment proposer la meilleure expérience digitale en matière d’onboarding client ?

A l’heure où la mobilité est plurielle, rapide et multiple, les clients sont de plus en plus volatiles dans leurs choix de mode de déplacement.

Que ce soit pour louer une voiture, utiliser une trottinette électrique ou emprunter les transports en commun, les consommateurs recherchent l’instantanéité et la fluidité en matière d’onboarding.
D’où la nécessité pour les acteurs de la mobilité de proposer des solutions adaptées.

Comment développer une expérience digitale à la fois performante et différenciante ?

Lire Plus »
Kyc Ux
Expérience client

KYC et Expérience Client :
Comment transformer une contrainte en opportunité  ?

Utiliser une contrainte réglementaire pour créer de la valeur : c’est là tout le potentiel du processus KYC (Know Your Customer).
La vérification d’identité des clients lors des transactions numériques devient une norme et s’étend désormais à de nombreux secteurs d’activité non régis par la réglementation comme les Ressources Humaines ou encore la mobilité (locations de voiture, scooter, trottinette…).
En parallèle, la digitalisation accrue des pratiques et des services atteint un tel niveau que ce qui était hier considéré comme une contrainte peut aujourd’hui contribuer à optimiser l’expérience client.
Voyons comment.

Lire Plus »
Suivez-nous !