L’identification avec des selfies n’est pas valable en matière de KYC/AML
Les solutions technologiques permettant de contrôler l’identité des personnes physiques par le biais des photographies des pièces d’identité ou des passeports et l’enregistrement d’instantanés du visage de l’utilisateur ne respectent pas les réglementations légales en matière de prévention du blanchiment de capitaux et de financement du terrorisme (KYC/AML) dans l’industrie financière.
Le motif n’est autre que leur faible niveau de sécurité technique, la faiblesse des preuves électroniques apportées au processus ainsi que leur manque d’intégrité. Tout ceci fait en sorte que le niveau de sécurité fourni est faible, loin de la sécurité requise pour l’identification formelle de clients selon les réglementations les plus exigeantes en la matière, qui ont fixé un haut niveau de conditions techniques pour utiliser le service de vidéo en streaming.
Comment vérifier cette information concernant le KYC/AML?
Dans les standards anglo-saxons – États-Unis:
Étant donnés les multiples cas de fraude d’identification des clients dans les processus KYC/AML, le Département du Commerce des États-Unis, par le biais du NIST-National Institute of Standards and Technology- a créé des Lignes de Base pour le Contrôle de l’Identité Digitale (NIST SP 800-63A), mises à jour en juin 2017 et qui établissent trois niveaux de sécurité pour le registre et les preuves de contrôle d’identité, faible (IAL1), moyen (IAL2) et élevé (IAL3).
Le niveau élevé (IAL3) est équivalent à l’identification en personne et apte à la création de comptes à distance. Ce niveau requiert une intervention humaine et propose une transmission de vidéo continue à haute résolution.
Le même document prévoit des solutions prenant des photographies/selfies d’un niveau de sécurité moyen (IAL2) et conjuguées à d’autres preuves évidentes de l’identité de la personne, au-delà des photographies prises ou scannées de la pièce d’identité justificatif et de l’enregistrement du visage de la personne. Ces preuves évidentes sont habituellement des justificatifs de factures ou de domicile, une vérification en background (background checks) des informations d’identité de la personne identifiée.
Ce dernier fait, en outre, mettrait ce type de solutions en danger dans l’Union Européenne car, pour des raisons de confidentialité et au contraire de ce qui se fait dans les pays anglo-saxons, elles ne sont pas autorisées en Europe où le traitement des données à caractère personnel n’est pas possible, y compris celles de type public, traitées par les sociétés préalablement au consentement express des personnes concernées.
Dans les standards européens:
On s’appuyant sur ces arguments, il n’existe pas de bonnes pratiques, d’autorisations ou de procédures d’identification non présentielle par des autorités de régulation dans le secteur financier en Europe permettant d’utiliser des solutions de contrôle de l’identité basées sur de simples photographies.
La quasi-totalité des États membres de l’Union Européenne ont autorisé ou préparent des autorisations de procédures en vue de l’identification non présentielle de clients sur la chaîne en ligne. Certains cas/références sont les suivantes :
BAFIN (Bundesanstalt für Finanzdienstleistungsaufsicht) – Autorité de régulation allemande
FINMA (Swiss Financial Market Supervisory Authority) – Autorité de régulation suisse
CSSF ((Commission de Surveillance du Secteur Financier) – Autorité de régulation luxembourgeoise
BdP (Banco de Portugal) – Autorité de régulation portugaise
SEPBLAC (Servicio Ejecutivo de Prevención de Blanqueo de Capitales) – Autorité de régulation espagnole
Veuillez noter que toute cette information est publique et librement disponible sur internet.
Dans les standards d’Amérique Latine:
CNBV – Mexique
Dans les standards d’Asie:
MAS – Singapour
Veuillez noter que toute cette information est publique et librement disponible sur internet.
Il y a deux types de solutions pour le KYC/AML
La transmission de vidéos en continu devient un standard pour l’identification des clients sur les chaînes en ligne. Il existe deux types de solutions : les dénommées synchrones (visioconférence avec un agent qui réalise l’entretien du client en ligne) et les asynchrones (un enregistrement vidéo est effectué en streaming, garantissant ainsi le contrôle et l’intégrité du processus d’enregistrement de la vidéo par le sujet et une vérification ultérieure hors ligne par un agent qualifié).
Les deux solutions peuvent être combinées en fonction du cas : typiquement, la visioconférence pour une vente consultative où l’on acquiert un nouveau client et la vidéo asynchrone dans les processus de captation qui requièrent de l’agilité dans la transaction et où l’on cherche à déranger le client le moins possible.
Un article initialement publié par notre adhérent ElectronicID