La lutte contre la fraude, le blanchiment d’argent et le financement du terrorisme demeure une volonté européenne de longue date. Les Directives Européennes de lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) se sont succédées depuis près de 30 ans afin d’offrir aux entreprises sujettes aux risques de fraude un cadre réglementaire renforçant les procédures d’identification de leurs clients à distance. A l’aube du « portefeuille européen » (Digital Identity Wallet), et dans le contexte d’une digitalisation accrue, faisons le point sur le paysage réglementaire européen actuel et dressons le panorama des solutions existantes pour satisfaire les exigences KYC, en attendant une harmonisation souhaitée.
EU : un contexte réglementaire fragmenté
En 2017, la 5ème Directive LCB-FT suivie de la 6ème directive LCB-FT en 2020, ont pris en considération les évolutions du marché et les nouveaux usages numériques. Elles ont imposé à l’ensemble des acteurs concernés (banques, fintech, mais aussi télécommunications et jeux d’argents en ligne) de renforcer la vérification d’identité lors du processus KYC à distance en précisant les mesures à mettre en œuvre dans ce contexte, répondant ainsi à l’évolution des usages de plus en plus numériques.
Cependant, et parce qu’il s’agit de Directive Européenne, chaque état membre a interprété cette directive en la transposant en droit national. Cette situation a mené de facto à une hétérogénéité des transpositions et, inévitablement, à une hétérogénéité en matière d’exigences requises par chaque régulateur national. « Nombres rapports ont montré les écarts d’application de la réglementation entre les différents Etats membres de l’UE. » Ces divergences d’exigences s’expriment dans les différentes solutions d’identification disponibles sur le marché, selon les pays et selon les régulateurs. Par exemple, la BAFIN (Allemagne) et la SEPBLAC (Espagne) recommandent la vérification hybride quand d’autres pays ont rendu obligatoire le processus de signature électronique qualifiée. Ces interprétations différentes ont conduit à l’apparition de 4 familles de solutions :
- La signature électronique qualifiée
- Les solutions de vérification 100% automatique
- Les solutions de vérification hybrides (automatique + vidéo identité ou vérification manuelle)
- Les solutions d’identité numérique eIDAS
Pour complexifier encore les choses et en ce qui concerne les solutions de vérification, le souci est qu’aucun cadre de normalisation ne définit les minimums requis pour une solution d’identification.
C’est ici que l’on peut faire un constat à mi-parcours : le paysage européen de la vérification d’identité à distance est pour le moins morcelé. Chaque acteur se trouve dans une position incommodante : les régulateurs nationaux sont peu guidés par l’Europe, les fournisseurs sont libres de vendre des solutions sans véritable cadre, et les entreprises soumises à régulation doivent choisir la meilleure solution parmi différentes offres non normées, pas toujours disponibles et ne bénéficient malheureusement d’aucune recommandation pour faire leur choix.
Un paysage réglementaire complexe, une certification qui fait défaut : un terreau fertile à la fois pour les risques encourus et un manquement au respect des obligations
L’Harmonisation se met en place avec la France, en pays précurseur
L’harmonisation européenne devient urgente : la digitalisation modifie en profondeur les usages sociétaux et les risques inhérents, notamment la fraude et les vols d’identité, croissent à la même vitesse. C’est dans ce contexte, et en espérant prendre les devants, que la France (ANSSI) a publié un standard en mars 2021, le référentiel PVID (prestataire de vérification d’identité à distance), en réponse à la directive publiée par la Direction Générale du Trésor. Ce référentiel détaille le minimum d’exigences techniques et organisationnelles à atteindre pour une solution d’identification requises dans le cadre du LCB-FT (mesure n°5). Ce référentiel vise à attribuer aux fournisseurs de solutions de vérification une certification (PVID) et permet aux entreprises régulées de savoir à quelle solution faire appel. Mais cette initiative reste valable en France uniquement.
Qu’en est-il au niveau de l’UE ? La volonté européenne s’inscrit clairement pour une uniformisation et une simplification de la définition de la vérification d’identité à distance. C’est dans ce contexte que l’ETSI (European Telecommunications Standards Institute) a lancé un groupe de travail en vue de normaliser la définition et l’appréciation des services de vérification d’identité à distance et a publié en Juillet 2021, le standard ETSI 119 461. Ainsi, la vérification d’identité à distance y est définie et présente un minimum requis d’exigences dans le but d’obtenir un niveau de service homogène sur le territoire UE. Seul petit bémol, à ce jour, aucun texte réglementaire ne fait référence à cette norme 119 461…
A ce stade, les lignes commencent tout de même à bouger. Certains pays, comme la France, prennent de l’avance et posent les fondations d’un cadre réglementaire rassurant et sécurisant, très attendu par les fournisseurs de solutions, les entreprises assujetties et les régulateurs. Mais la route vers l’harmonisation européenne est encore longue et les disparités trop nombreuses.
Ce qui est prévu pour demain
A l’horizon 2025, la Directive LCB-FT devrait être remplacée par un Règlement Européen AML-R (Anti Money Laundering Regulation). Un Règlement contrairement à une Directive, implique une application à l’échelle européenne sans passer par la case transposition (tout comme le RGPD). Tous les Etats Membres (EM) devront donc suivre les exigences sans aucune distinction et les difficultés issues des disparités nationales disparaitront. En outre, la Commission Européenne annonce la « création d’une nouvelle autorité de l’UE dans le domaine de la lutte contre le blanchiment de capitaux ». Cette nouvelle autorité centrale, AMLA pour Anti Money Laundering Authority, sera chargée de la coordination entre les agences nationales de régulation et permettra la convergence en matière de lutte contre la fraude et de respect des normes et exigences, garantissant que le secteur privé applique correctement et de manière cohérente les règles de l’UE.
Objectif 1 : Un seul Règlement pour tous les EM, une coordination unique,
harmonisée et organisée selon un cadre défini au niveau européen
Parallèlement, L’Europe publiera en 2022 le Règlement eIDAS 2.0, qui « vise à instaurer un mécanisme de reconnaissance mutuelle des moyens d’identification électronique des États membres sur l’ensemble des services en ligne ». Cela signifie qu’eIDAS 2.0 offrira un cadre harmonisé et des définitions relatives aux schémas d’identité numérique. Le EU Wallet y sera défini en s’appuyant certainement en ce qui concerne le moyen d’identification à distance sur le standard EU ETSI 119 461. Ainsi, demain, l’Europe proposera un cadre unique normalisé pour tous les Etats Membres sur la partie identification à distance.
Du côté d’IDnow, nous proposerons une identité électronique, de niveau substantiel, reconnue par eIDAS, définie par le Standard ETSI et citée dans le Règlement AML.
Objectif 2 : Des solutions d’identification à distance normalisées et reconnues
En attendant, que faire ?
Pour être conforme aux exigences LCB-FT et en attendant un schéma d’identification unique, certifié et de niveau substantiel, plusieurs solutions existent comme le micro-paiement, une solution certifiée PVID ou encore la signature électronique qualifiée.
À l’heure actuelle, une solution est déjà disponible, largement répandue dans les mesures de vigilance requises par les Régulateurs européens, y compris en France : la signature électronique qualifiée. Habituellement fondée sur une vérification d’identité faite en face à face ou équivalent, la signature électronique qualifiée offre un parcours 100% digital.
C’est ce nouveau dispositif qu’IDnow propose à ses clients. Certifiée par un organisme agréé, la solution IDCheck.io Identity Proofing Service certifiée PVID d’IDnow, répond aux exigences de l’ANSSI et offre une réponse adaptée aux différentes mesures de LCB-FT. Facilement intégrable, elle permet aux entreprises assujetties d’adresser leurs services en toute conformité, à tous types de publics (même non-bancarisés) et délivre un parcours utilisateur complet, fluide et rapide, avec un processus d’embarquement de moins de 10 minutes durant lequel l’utilisateur prouve son identité.
Tout ce que vous devez savoir sur le référentiel PVID
Par
Olivier Artus
Senior Sales Director Global Financial Services chez IDnow
Rejoignez Olivier sur LinkedIn