La digitalisation des processus d’entreprises relevant de secteurs réglementés est en forte croissance. Les régulateurs ont donc naturellement renforcé et précisé leurs exigences partout en Europe. Ces entreprises ont bien évidemment des obligations légales de connaissance client (KYC). L’entrée en relation en ligne doit aujourd’hui se faire avec une solution de confiance et des moyens d’authentification. Seulement voilà, la vérification de l’identité implique le traitement de données personnelles et sensibles. Dans ce cadre, la réglementation exige déjà, et va exiger davantage, l’utilisation de solutions conformes aux exigences de sécurité et de protection des données.
Quels sont les défis des solutions KYC en matière de protection des données personnelles ?
Aujourd’hui, de plus en plus d’entreprises doivent mettre en œuvre un processus KYC (Know Your Customer) pour répondre à des exigences réglementaires. Ce processus consiste à vérifier l’identité des clients, le plus souvent, lorsqu’ils souscrivent à un service en physique ou à distance. En effet, pour bénéficier d’un service ou d’un produit, le client doit créer un compte. Et c’est lors de cette création de compte que la vérification d’identité est requise. Le KYC est un processus qui peut s’avérer essentiel dans différents cas : pour le respect des réglementations telle que la directive anti-blanchiment, pour lutter contre les actes frauduleux, pour vérifier l’âge du souscripteur au service ou encore pour améliorer l’expérience client et extraire simplement des données.
Avec l’explosion d’Internet et des services à distance, le processus KYC a considérablement évolué et s’est renforcé. Afin de contrôler au mieux l’identité d’un client, les solutions mises en place doivent récolter des informations personnelles à partir d’un document d’identité pour les analyser. Bien souvent s’ajoute à cela une étape de reconnaissance faciale biométrique qui permet, elle, de s’assurer que la personne à distance est bien celle qu’elle prétend être. Cette combinaison de vérification de la pièce d’identité et de reconnaissance faciale par vidéo est explosive en termes de sensibilité des données personnelles.
Lorsque vous mettez en place une solution KYC, il est donc primordial de s’assurer que les données reçues de vos clients, qu’il s’agisse de données personnelles biométriques ou non, soient protégées et n’encourent aucun risque de fuite. Pour éviter cela, assurez-vous de choisir un fournisseur qui répond aux exigences réglementaires sur la protection des données. Mais quelles sont ces exigences justement ?
RGPD, Cloud Act, eIDAS : que dit la réglementation aujourd’hui en matière de protection des données personnelles ?
Aujourd’hui la question de la collecte des données, de leur gestion et de leur stockage n’est plus un détail. La protection des données de l’entreprise doit être pensée et répondre à un plan rigoureusement appliqué. Suite à l’arrivée du cloud act adopté en 2018 – loi fédérale des États-Unis sur l’accès aux données de communication (données personnelles), notamment opérées dans le Cloud – la question de la protection des données est alors remise en cause. En effet une entreprise qui héberge ses données sur une plateforme américaine ne peut aujourd’hui se déclarer conforme au RGPD.
Certains fournisseurs de service font alors le choix d’une souveraineté européenne, c’est-à-dire, de stocker leurs données en Europe sous le contrôle d’entreprises non établies aux États-Unis. Cependant subsiste une troisième solution : chez IDnow nous sommes souverain by design. Par ce moyen nous maîtrisons complètement les données traitées et nous évitons les risques éventuels liés au cloud souverain. Lorsque le cœur de métier d’une entreprise lui amène à manipuler quotidiennement de la donnée sensible et de la donnée personnelle, les fournisseurs de solutions KYC peuvent choisir d’opérer eux-mêmes leurs propres infrastructures.
Le marché européen est régi par de nombreuses réglementations auxquelles les entreprises doivent se soumettre, incluant des enjeux liés à la protection des données et donc au respect du RGPD (Règlement Général sur la Protection des Données). Ce règlement européen vise à encadrer le traitement des données personnelles sur le territoire de l’Union Européenne et impose donc aux entreprises de protéger les données personnelles qu’elles manipulent et la vie privée des citoyens de l’UE. Le RGPD concerne donc toutes les transactions qui ont lieu au sein de l’Europe et également toutes les entités qui traitent des données personnelles appartenant à des résidents de l’UE.
Dans ces conditions, les entreprises qui ne respectent pas le règlement peuvent faire face à de lourdes amendes. En effet, la pénalité peut aller jusqu’à 4% du chiffre d’affaires annuel. Dans le cadre d’un processus de KYC, les données récoltées, relatives à l’identité (nom, prénom, date de naissance, etc.) entrent clairement dans cette catégorie de données à protéger. De plus, les données biométriques, qui sont des caractéristiques physiques ou biologiques qui permettent d’identifier une personne sont également soumises à ce règlement. Il peut s’agir d’empreintes digitales, de reconnaissance faciale, …etc. Dans ce cadre, le fournisseur de solution KYC avec lequel vous choisirez de travailler doit être en totale conformité avec le règlement général sur la protection des données.
Afin d’accroître la confiance dans les transactions électroniques au sein du marché intérieur, une autre réglementation s’impose à l’ensemble des prestataires de services de confiance ou Autorités de Certification : il s’agit du Règlement eIDAS. Ce règlement a défini trois niveaux de fiabilité et de garantie concernant les processus d’identification. Le niveau « faible » renvoie à un moyen d’identification électronique qui réduit le risque d’usurpation, mais avec un niveau de confiance limité (un identifiant et un mot de passe suffisent). Le niveau « substantiel » renvoie à un moyen d’identification électronique qui a pour but d’améliorer la posture aux risques d’altération d’identité. Le signataire doit alors disposer d’un document d’identité émis par un État membre et en avoir démontré sa possession. Et enfin le niveau « élevé » quant à lui nécessite que la personne soit en possession d’un élément d’identification photographique ou biométrique reconnu par l’État membre dans lequel est déposée la demande relative au moyen d’identité électronique et que cet élément correspond à l’identité alléguée.
Aujourd’hui, la France s’est inspirée du règlement eIDAS pour la transposition de la 5ème directive LCB-FT (lutte contre le blanchiment d’argent et financement du terrorisme). Parmi plusieurs exigences, cette directive demande aux entreprises de faire appel à un fournisseur de vérification d’identité de niveau substantiel afin lutter efficacement contre les risques de fraude.
Si vous souhaitez savoir à quel niveau de fiabilité se place votre fournisseur de solution KYC, n’hésitez pas à vous fier aux 3 niveaux définis au sein du règlement eIDAS.
Comment les solutions KYC répondent-elles aujourd’hui aux enjeux en termes de protection des données personnelles ?
Le KYC est aujourd’hui le point d’entrée de la relation entre le client et le fournisseur de solution, il a pour rôle d’établir la confiance nécessaire entre les deux parties et se doit de répondre aux différents enjeux. Pour être un acteur de confiance, les fournisseurs de solution de vérification d’identité doivent aujourd’hui prôner une totale conformité aux exigences sur le traitement des données à caractère personnel. Cela passe notamment par l’analyse, mais aussi le stockage ou encore l’archivage des données sensibles qui sont traitées dans le cadre d’un processus KYC.
Concernant l’analyse, aujourd’hui certains fournisseurs de solutions proposent une vérification du document d’identité en moins de 10 secondes. Durant ce temps, le logiciel traite les informations, vérifie leur authenticité et renvoie un verdict au client. Ces données récoltées sont ensuite détruites afin d’éviter tout risque de fuite. Il arrive parfois que lors d’une identification à distance l’utilisateur ne dispose pas forcément des documents à l’instant T. Dans ce cas, le fournisseur de solution KYC peut alors décider de stocker temporairement ces données jusqu’à validation du parcours client final.
Lorsque la vérification automatisée ne peut être finalisée ou est incomplète, une vérification manuelle est réalisée. Ce sont alors des experts formés à la détection des fraudes qui viennent compléter la vérification. Qu’il s’agisse d’un traitement automatique ou bien d’un traitement manuel du document envoyé, il est important de savoir où transitent et où sont stockées les données du client. Concernant la vérification manuelle, il faut également s’assurer que les données récoltées sont traitées dans un centre en Europe.
Outre la façon dont sont traitées les données, il est également important de regarder le niveau de confiance global de l’entreprise que vous choisirez comme fournisseur de solution KYC : ses valeurs, ses certifications (ISO 27001 par exemple ou la conformité au référentiel de l’ANSSI pour les prestataires de vérification d’identité à distance PVID ou encore FIDO pour la biométrie), ainsi que les audits (tests de pénétration, conformité RGPD…) auxquels elle peut être soumise par obligation ou par choix,et qui peuvent justifier du degré de fiabilité de celle-ci. Ces différents audits ont pour objectif de tester la fiabilité des systèmes d’information et des processus associés afin de trouver d’éventuelles vulnérabilités.
Chez IDnow, en tant que fournisseur de solution KYC, nous veillons méticuleusement au respect des principes fondamentaux du règlement général sur la protection des données et du règlement eIDAS. Nous proposons également une solution certifiée PVID (Prestataire de Vérification d’Identité à Distance) par l’ANSSI. Ainsi, nous garantissons la confidentialité totale et la protection de toutes les analyses afin de proposer à nos clients un service totalement conforme aux exigences du marché.
Par
Rayissa Armata
Senior Head of Regulatory Affairs chez IDnow
Connectez-vous à Rayissa sur LinkedIn