Le 15 mai 2021 a marqué l’entrée en vigueur totale et définitive de la directive européenne sur les paiements (DSP2) qui impose désormais une procédure d’authentification forte pour tous les paiements en ligne. En clair, le seul renvoi d’un code de sécurité par SMS seul ne suffira plus ; il faudra également que ces transactions fassent intervenir au moins deux autres critères jugés sûrs par les autorités européennes, comme un code personnel ou un élément de biométrie par exemple.

Plus globalement et dans la même veine, tous les acteurs financiers sont appelés à renforcer la sécurité des transactions par une meilleure identification de leurs clients, le fameux KYC (prononcer ki-waï-si), qui soulève parfois quelques controverses de la part des usagers de services de paiement notamment. En effet, à l’heure des procédures allégées et autres promesses d’ouverture de compte simplifiée, nombre de clients acceptent mal de devoir fournir des justificatifs de plus en plus nombreux et personnels dans une procédure de vérification pourtant indispensable qu’ils jugent souvent intrusive.

KYC pour Know Your Customer : ce que dit la loi

Outre la DSP2, de fortes contraintes réglementaires liées à la sécurisation des transactions pèsent sur les entreprises financières, plus spécialement celles qui proposent leurs services aux particuliers.

Ainsi, depuis 2018, l’Autorité de contrôle prudentiel et de résolution (ACPR) multiplie les dispositions qui s’imposent aux acteurs financiers et visant à améliorer la qualité de la connaissance client, afin de répondre aux exigences de l’Union européenne en matière de lutte contre le blanchiment de capitaux et le financement du terrorisme. De son côté, le Code monétaire et financier, dans ses articles L.561-4-1 à L561-14-2, réaffirme et renforce les obligations de vigilance constante qui incombent à ces sociétés à l’égard de la clientèle.

Ainsi, avant même d’entrer en relation d’affaires avec leur futur client, les organismes financiers doivent lui faire passer par une procédure d’identification KYC, notamment en lui demandant de fournir un certain nombre de documents et justificatifs spécifiques. Mais ces entreprises doivent ensuite pouvoir contrôler la validité et la « fraîcheur » de ces informations le plus régulièrement possible, en réclamant des mises à jour par exemple. Car, en effet, leur devoir de contrôle ne s’arrête pas à l’ouverture du compte par exemple, mais s’accompagne d’une obligation de vigilance constante, tout au long de leur relation.

Procédure de contrôle contraignante mais indispensable

Ces mesures peuvent parfois paraître excessives, voire constituer un moyen détourné de surveiller les transactions financières et renier le principe de confidentialité. Sur ce dernier point, les organismes financiers comme Veracash gèrent les données personnelles de leurs clients avec la même exigence de sécurité et de discrétion que pour les données financières : données chiffrées stockées sur des serveurs sécurisés, redondance des systèmes permettant la disponibilité permanente des données, audits réguliers par des professionnels de sécurité des systèmes d’informations, etc.

En outre, le Règlement Général sur la Protection des Données (ou RGPD) entré en vigueur en 2018, oblige ces sociétés à sécuriser le traitement de données personnelles (numéro d’identifiant, nom, adresse, numéro de téléphone, date de naissance, adresse IP par exemple) de manière à protéger la vie privée et les libertés individuelles de leurs clients.

De la même façon, si le KYC peut parfois sembler complexe et même intrusif, il est surtout absolument nécessaire dans l’intérêt des clients eux-mêmes. Car il n’est pas seulement question d’éviter les risques de blanchiment d’argent ou de financement du terrorisme cités précédemment, il s’agit aussi, de manière plus large, de sécuriser les transactions et de limiter au maximum les risques pour la clientèle.

Infographie des activités illicites et de la fraude à l'origine de l'argent sale
Activités illicites à l'origine de l'argent sale, blanchissement de capitaux et financement du terrorisme. Source : Groupe CFPB

Limiter les risques pour les clients grâce au KYC

Le premier risque, et sans doute le pire pour un client, c’est le risque dusurpation d’identité. Il faut savoir que les dossiers d’usurpation instruits par la Banque de France sont en nette hausse, jusqu’à 30% de plus chaque année. Des crédits souscrits sous un faux nom, un numéro de carte bancaire détourné, voire carrément des fonds retirés indûment, ce sont ainsi plusieurs milliards d’euros qui sont dérobés chaque année. Et surtout, pour les clients lésés dont certains se retrouvent injustement fichés à la Banque de France, c’est le début d’une longue série de démarches pénibles et contraignantes dans l’espoir incertain de rétablir la situation. Un processus bien plus long et douloureux qu’une simple procédure de validation des informations personnelles…

L’autre risque que court le client d’un service financier dont le processus de KYC serait défaillant, c’est celui de ne pas être suffisamment informé de ses droits, de ses obligations ou encore des possibilités qui lui sont offertes en fonction de son profil et de ses besoins. Les banques, mais aussi plus généralement tous les acteurs financiers et les fintech comme Veracash ont une obligation d’information et de mise en garde de leurs clients, qu’il s’agisse d’investisseurs ou d’acheteurs. Si la crise des subprimes a explosé en 2008, c’est justement parce que des organismes de crédit avaient négligé leur rôle de conseil à l’égard d’emprunteurs au profil économiquement risqué, un conseil qu’ils étaient d’ailleurs souvent bien en peine de fournir en raison du peu d’informations qu’ils avaient parfois sur la situation réelle de leurs clients.

Pour garantir la sécurité des usagers et leur éviter des déboires ultérieurs, il est essentiel de récolter un peu plus qu’une simple copie de pièce d’identité et un justificatif de domicile (ou encore un extrait de K-bis pour les professionnels). Une bonne expérience client passe nécessairement par une bonne information, aussi précise et documentée que possible.

Renforcer la confiance pour mieux protéger toutes les parties

La connaissance des clients pour mieux protéger leurs intérêts est donc une évidence. Et ce n’est pas non plus une opération sans conséquence pour les établissements : d’après une étude True Cost of AML Compliance 2017 de LexisNexis Risk Solutions, les coûts engendrés par les procédures d’identification et de contrôle ont été estimés à 18,6 milliards de dollars par an pour les entreprises financières françaises. Pourtant, aucune ne songe à en faire l’économie, car le risque est trop grand pour elles aussi. Sans parler des fortes amendes de plus en plus fréquentes prononcées à l’encontre des entreprises qui ne respecteraient pas leurs obligations de KYC, une institution financière qui ne se préoccuperait pas des risques de fraude ou d’évasion fiscale, de blanchiment d’argent ou de tout autre irrégularité potentielle, s’exposerait à une perte de confiance totale de la part, non seulement des autorités de contrôle, mais aussi et surtout des clients.

Un service sûr pour tous implique donc un processus d’identification et de vérification irréprochable. D’abord pour permettre une relation de confiance mutuelle basée sur la transparence et le strict respect des règles, afin que tout le monde soit en sécurité. Mais aussi, dans les cas les plus extrêmes, pour éviter qu’une éventuelle brebis galeuse dont on n’aurait pas détecté le profil à risque ne jette l’opprobre sur tout le système, mettant également tous les autres clients en difficulté en cas de procédure judiciaire ou fiscale susceptible, par exemple, d’entraîner un contrôle sévère, voire un gel provisoire, de tous les comptes ouverts auprès de la société financière négligente.

Lorsqu’une banque, une entreprise financière ou une fintech comme Veracash demande à ses clients de fournir des informations personnelles, de justifier de la provenance des fonds, ou même de renvoyer régulièrement certains justificatifs pour s’assurer que les renseignements fournis sont toujours valables, ce n’est pas parce qu’elle doute de la sincérité de ses utilisateurs ni qu’elle soupçonne des malversations. C’est au contraire pour éviter justement que ce genre de questions se posent, pour faciliter les échanges et pour garantir la sérénité des transactions.