Comment la KYC électronique transforme l’activité des entreprises
![Image [France Identité numérique] lance un programme de [bug bounty] public](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-bug-errors-885x690.jpg)
![Image [Identité numérique :] Entrust veut racheter Onfido](https://incyber.org//wp-content/uploads/2024/02/incyber-news-cybersecurite-cybersecurity-rachat-fusion-885x690.jpg)
![Image [France :] un nouveau prestataire de tiers payant victime d’un vol de données](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Autrefois réservée à l’anti-blanchiment de capitaux, la connaissance client (KYC) étend son périmètre et sa récurrence pour devenir cyber-résiliente. Naguère confinées au seul secteur financier, sa démarche et ses obligations réglementaires s’élargissent progressivement à d’autres activités : immobilier, cryptoactifs, IT…
Pour rester compétitives face à une cybercriminalité croissante et à des régulations toujours plus nombreuses, les entreprises doivent digitaliser leurs processus : depuis l’intégration client à la collecte et au contrôle des documents, de l’analyse des risques environnementaux et économiques jusqu’à la revue régulière de conformité.
Quelles solutions offre l’e-KYC ? Pourquoi transforme-t-elle l’organisation et les activités économiques des organisations ? Quelle place prend l’identité numérique (ID) dans une telle démarche ?
Périmètre et fréquence étendus
En intégrant la responsabilité pénale aux personnes morales en matière de blanchiment d’argent, la 6ème Directive UE contre le blanchiment d’argent (AMLD6), entrée en vigueur le 3 décembre 2020, harmonise la liste des infractions et impose plus que jamais des obligations fortes aux sociétés dans la lutte contre les activités criminelles (interdiction temporaire d’opérations, contrôle judiciaire, voire fermeture définitive de l’entité).
Pour les législateurs, la KYC et la due diligence raisonnable ont un rôle de plus en plus important à jouer dans la lutte contre la cybercriminalité.
« Si ces processus sont faibles, ou si le personnel est mal formé, les contrôles s’avèrent inefficaces, note le rapport « Follow the Money » (de BAE Systems et Swift) sur le blanchiment d’argent à grande échelle. « Il y a eu en outre des cas où un initié complice ou contraint a aidé à échapper ou à réduire l’examen minutieux des équipes de conformité effectuant des contrôles KYC et de diligence raisonnable lors de nouvelles ouvertures de compte ».
« Pour se mettre en conformité et suivre ces bonnes pratiques, les organisations doivent donc digitaliser leur KYC, pour la rendre récurrente et plus flexible face aux changements continus de régulation, tout en restant réactifs en cas d’embargo, » explique Guy de Felcourt, Consultant en Affaires publiques spécialisé sur les identités numériques et le paiement. « Ces bonnes pratiques doivent s’installer dans le long terme tout en assouplissant l’expérience client. »
En s’inscrivant dans la permanence, la connaissance client devient aussi récurrente, poursuit le co-fondateur de l’ID & KYC Forum : « L’entreprise doit surveiller ses risques, cela signifie savoir détecter un certain nombre de signaux (on utilisera souvent l’intelligence artificielle), et passer d’un contrôle lors de l’entrée en relation à un monitoring régulier des situations clients et fournisseurs ».
Une KYC qualifiée de transformationnelle
En renforçant la vérification à distance des données personnelles et professionnelles, l’AMLD5 et 6 renforcent le rapprochement entre l’identité numérique et la KYC, estime l’expert : « Toute entreprise aujourd’hui a besoin de l’identité pour structurer les liens qu’elle entend nouer à la fois au sein de son organisation interne et sur ses sphères externes d’influence. Et ces liens doivent autant que possible être ergonomiques et de confiance ».
En termes d’information client, ce rapprochement nécessite l’adoption par l’entreprise de nouvelles approches organisationnelles et technologiques (composants sécurisés, intelligence des données, couches applicatives, biométries, crypto…) dans la structuration, la gestion et la sécurisation des données et de leurs flux.
« Cela signifie pour l’entreprise un besoin de réaligner ses métiers, ses activités et son organisation pour se mettre en conformité ; elle doit revoir également la gestion et le traitement des informations, et travailler avec des données de confiance et certifiées ; elle doit pour cela intégrer des outils de bases de données et de détection, et des technologies de big data ou d’intelligence artificielle. »
Pour ce dernier donc, la convergence KYC-ID est fondamentale dans le cadre du package anti-blanchiment européen annoncé pour 2024 : « Ces nouvelles obligations KYC s’étendront sur le périmètre des acteurs concernés (tels les cryptoactifs), sur la fréquence des contrôles et le recours aux attributs de la connaissance clients (FICOBA, registres de bénéficiaires effectifs, etc.), » explique-t-il. « Il y a donc matière à une grande action concertée entre les deux projets, qui permettrait de vraies synergies vis-à-vis du secteur privé règlementé ».
L’identité numérique : un impact sociétal
Selon lui, la convergence redéfinit aussi la relation client, qui ne repose plus uniquement sur le contact direct : « Le concept d’identité renvoie à la manière dont nous établissons des relations, dont nous fonctionnons en société, dont nous organisons notre économie, » note-t-il. « En mettant la relation à distance au centre de nos nouvelles sociétés, une conséquence désormais constatable par tous du fait de la situation sanitaire, il n’est désormais plus possible d’ignorer la question des identités numériques ».
« Les relations électroniques ou digitales sont ainsi faites qu’elles ont besoin de reposer sur un triptyque d’enrôlement (identification), d’authentification et d’autorisation. L’identité numérique sert à gérer les attributs des entités (ou personnes) concernées afin de pouvoir réaliser ces trois relations digitales de base, à les optimiser et à les consolider, » énonce M. de Felcourt.
Cette transformation sociétale devient aussi un enjeu de souveraineté et de l’importance « de consolider l’identité numérique européenne vis-à-vis des alternatives américaines et asiatiques qui se sont pour l’instant imposées auprès du grand public ».
Mais l’e-KYC est-elle fiable ? Certes, l’intelligence artificielle rend le processus plus rapide, plus simple et moins cher. Mais les machines peuvent aussi prendre des décisions biaisées. « L’utilisation de l’apprentissage automatique signifierait que les entreprises s’appuieraient sur des bases de données fermées qui ne permettent pas facilement des intégrations continues avec d’autres plateformes, » relève Oliver Gudgeon de Rainbird Technologies.
« Tant les algorithmes qui s’adaptent trop aux modèles passés et sont aveugles aux problèmes contemporains, que le personnel ne surveillant plus le cycle de vie total du client peuvent laisser les entreprises incapables d’expliquer les décisions automatisées ».
Aussi, pour atteindre une conformité opérationnelle efficace, celui-ci recommande d’intégrer l’e-KYC AML dans des plans de transformation numérique plus larges, « plutôt que dans de nouvelles approches d’apprentissage automatique verrouillées ».
L’ingénierie de la connaissance client a donc de beaux jours devant elle : au carrefour de l’extension des pratiques anti-blanchiment, du renouvellement de la relation client autour de l’identité numérique, et de l’intelligence artificielle dans la détection des risques et le monitoring des situations d’information.