La digitalisation fiable et sereine
Communiqué de presse FnTc

Retour Communiqué de presse FnTC

8 questions sur le KYC et sur son cadre juridique

Pascal Agosti, avocat spécialiste en droit des nouvelles technologies, de l’informatique et de la communication, répond à nos questions sur l’origine de la notion de KYC , ses bases juridiques, ses applications concrètes, et ses prochaines évolutions. Un entretien éclairant, à lire avant d’aller consulter notre guide « KYC: maîtriser et optimiser votre connaissance client », disponible ici

Comment sont nées les procédures KYC ? Quelles en sont l’objectif ?

Quand on parle de KYC, on pense plus spécifiquement au secteur bancaire et financier. KYC signifie Know Your Customer – Connaître Votre Client. Si cet acronyme est en anglais, cela s’explique par son origine américaine : en 1950, le Federal Deposit Insurance Act a initié ce mouvement qui s’est ensuite progressivement densifié pour répondre aux différentes menaces apparues depuis, comme le terrorisme ou la fraude bancaire.

En Europe, dès le début des années 1990, sous l’impulsion du Groupe d’action financière (GAFI), une instance intergouvernementale dont la vocation première était de lutter contre les fraudes, les instances imposent peu à peu des principes visant à généraliser les bonnes pratiques.

En France, le KYC fait partie intégrante de la « lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) » aussi appelé « lutte anti-blanchiment et financement du terrorisme (LAB-FT) ».

 À la suite de divers scandales jalonnant les décennies (crise des subprimes, financement du terrorisme…), la nécessité de lutter contre le blanchiment des capitaux fait émerger de nouveaux besoins notamment liés à la dématérialisation des échanges, par exemple l’identification des clients à distance.

Tous les secteurs sont-ils concernés par le KYC ?

Tout marchand, toute entreprise, doit connaître son client, quel que soit le secteur.

Connaître son client revient à vérifier son identité, pour pouvoir lui imputer des actions (ex. : signature d’un contrat, paiement d’un bien ou service) d’un strict point de vue juridique. Imputer une action, c’est également pouvoir rechercher une responsabilité pour l’exécution ou la non-exécution de celles-ci.

L’identification du client constitue donc le fondement du bon fonctionnement d’une société démocratique, l’anonymat devant être perçu comme une exception à cette règle.

À la différence des autres secteurs, où cette exigence tient lieu d’une bonne gestion (et figure dans les contrats d’adhésion ou autres), le KYC est très réglementé dans le secteur bancaire et financier, ses dispositions figurent dans le Code Monétaire et Financier (CMF) :

        Articles issus des dispositions législatives : Livre V titre VI du Code monétaire et financier pour la lutte contre le blanchiment de capitaux et le            financement du terrorisme (articles L. 561-1 à L.564-2) et plus précisément les articles L. 561-4-1 à L. 561-14-2 du Code monétaire et financier pour les obligations de vigilance à l’égard de la clientèle.

        Articles issus des dispositions réglementaires : Livre V titre VI du Code monétaire et financier pour la lutte contre le blanchiment de capitaux et le financement du terrorisme (articles R. 561-1 à R. 563-5) et plus précisément les articles R. 561-5 à R.561-22-2 concernant les obligations de vigilance à l’égard de la clientèle.

Comment les obligations du KYC se matérialisent-elles pour les entreprises concrètement, que doivent-elles conserver ?

L’entrée en relation se matérialise par de multiples obligations :

  1. La formation des conseillers, agents qui devront vérifier l’identité des futurs clients ;
  2. La vérification et la conservation de justificatifs d’identité, de domicile, de revenus;
  3. La mise à jour régulière des données d’identification.

Il est important de conserver toutes les traces permettant de justifier d’une identité d’une personne pendant toute une période légale (ex. : dix ans à compter de la fermeture d’un compte bancaire…). Pour cela, les entreprises doivent mettre en place des procédures documentées au sein de leur structure expliquant l’entrée en relation et son actualisation, adossées à des outils informatiques performants et sécurisés afin de garantir la confidentialité et la disponibilité des données relatives aux clients.

Comment concilier les obligations du KYC avec celles du Règlement général sur la protection des données (RGPD) ?

Les procédures d’entrée en relation, de transmission des données strictement nécessaires, de conservation, de mise à jour des données d’identification, d’effacement une fois la relation terminée doivent être conformes aux exigences du RGPD.

Ainsi, les grands principes suivants devront être respectés :

    – Principe de finalité: les informations ne pourront être utilisées que dans un but légal et légitime ;

    – Principes de proportionnalité et de pertinence: les informations recueillies devront être strictement nécessaires à la finalité du traitement ;

    – Principe de durée de conservation limitée: la durée de conservation des données ne doit pas être indéfinie, la durée fixée prendra en compte le type de données recueillies et la finalité du traitement ;

    – Principe de sécurité et de confidentialité: seules les personnes autorisées doivent avoir accès aux informations relatives au KYC. 

Par exemple, le partage d’informations relatives à un client entre différentes entités juridiques d’un même groupe ne pourra pas se faire sans en avoir informé le client, que ce dernier exprime son consentement, qu’il puisse y faire opposition, y accéder et les rectifier, et que ses données puissent être transférées à un autre établissement bancaire par exemple (portabilité).

L’identité numérique peut-elle simplifier le KYC ?

Oui dès le moment où son implémentation sera pleine et entière. Depuis février 2020, le Code monétaire et financier a intégré un moyen d’identification électronique (reconnu d’un niveau de garantie substantiel ou élevé par l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) ou une autorité équivalente – art. R.561-5-1 CMF) pour justifier une entrée en relation, à l’exclusion de toute autre mesure complémentaire. A défaut, l’entrée en relation s’appuiera de deux mesures de vigilance complémentaires (art. R. 561-5-2 CMF) parmi lesquels d’autres moyens d’identification électronique qui n’ont pas passé le même crible auprès des autorités compétentes pourront être utilisés. Tout est dans la nuance.

Toutefois, pour l’instant, l’offre de moyen d’identification électronique fiable n’est pas encore suffisamment développée en France. « L’identité numérique La Poste » est conforme au niveau de sécurité substantiel défini par le règlement eIDAS (Art. R. 561-5-1 1 a° du CMF).

La simplification du KYC passe par la sécurité (identification croisée, niveaux de vigilances selon les risques…).

Quels sont les contrôles que peut subir une entreprise en matière de KYC ?

En tant qu’autorités administratives indépendantes, l’Autorité de contrôle prudentiel et de résolution (l’ACPR), l’Autorité des Marchés financiers (l’AMF), ou la Comission nationale Informatique et Libertés (la CNIL) peuvent vérifier la « compliance » des pratiques d’entreprises. De nombreuses sanctions ont déjà été rendues sur ce fondement pour certains établissements bancaires ou financiers sur le volet de l’entrée en relations.

Les positions/recommandations/lignes directrices de ces autorités de contrôle et de régulation guident régulièrement les parties prenantes pour instaurer de bonnes pratiques. Elles incitent régulièrement les assujettis à collaborer en posant directement leurs questions ou en participant à des groupes de travail et des consultations.

Quels sont les obstacles les plus courants pour la mise en place d’une procédure KYC ?

Il y en a plusieurs :

    Un manque de connaissance du cadre légal et réglementaire en la matière;

    Un manque de maturité en matière de gouvernance, de consolidation et de vérification des données;

    Un manque de documentation adaptée (ex. : documents de compliance dans les établissements bancaires qui n’ont pas encore intégré les moyens d’identification électronique).

Le cadre législatif autour du KYC va-t-il évoluer à votre avis ?

Une proposition de révision du Règlement eIDAS est en cours de discussion au niveau communautaire dont l’un des principaux chantiers a trait à l’identification numérique. Elle viendrait remplacer les dispositions actuelles du chapitre II relatif à l’identité régalienne du Règlement eIDAS en définissant l’« European Digital Identity Wallet » comme « a product and service that allows the user to store identity data, credentials and attributes linked to her/his identity, to provide them to relying parties on request and to use them for authentication, online and offline, for a service in accordance with Article 6a; and to create qualified electronic signatures and seal ». Dès lors, l’identité numérique est pensée dans sa multiplicité de supports et de sources (privées ou publiques).

En outre, le lien existant entre moyen d’identification et services de confiance qualifiés (signature ou cachet) est clairement exprimé dès la définition du portefeuille d’identité. En effet, un tel moyen répondant aux exigences du Règlement eIDAS et figurant dans le portefeuille d’une personne facilitera la création d’une signature électronique qualifiée, une aubaine pour certains secteurs d’activité comme les banques. L’entrée en relation serait ainsi simplifiée.

 Enfin, tout comme pour les services de confiance, les portefeuilles d’identité pourraient bénéficier d’un label de confiance (Trust Mark) s’ils répondent aux exigences formulées dans la Proposition de Règlement eIDAS.