Olivier Détour : « le KYC constitue un formidable accélérateur de business ».

 

éditeur de logiciels depuis 2012, Netheos développe des solutions de vérification d’identité à distance, principalement pour des banques et des assurances. Son CEO, Olivier Détour, est donc particulièrement bien placé pour évoquer le KYC (« Know Your Customer »), et les conséquences que peut avoir l’émergence de l’identité numérique et des solutions biométriques dans ce secteur. Et si vous souhaitez approfondir vos connaissances sur le KYC, notre guide, publié le mois dernier, est disponible ici. 

 

Quels sont les obstacles que rencontre généralement une entreprise qui met en place des procédures KYC ?

Il n’est pas toujours facile pour une société de trouver le bon équilibre entre ce que l’on appelle largement le KYC (vérification d’identité, contrôle de justificatifs, etc.) et l’expérience client. C’est d’autant plus vrai en ligne : l’exigence de l’utilisateur et le risque d’abandon de parcours y sont plus importants, alors que dans ce contexte distanciel, les contrôles au KYC sont renforcés.

Comment l’identité numérique peut-elle faciliter les obligations KYC ?

Il existe six mesures de vigilance complémentaires lorsque l’entrée en relation d’affaires se fait « à distance » ; il suffit d’en appliquer deux pour être en conformité vis-à-vis de la règlementation. Une identité électronique de niveau substantiel permet simplement d’éviter ces mesures de vigilance.

Ce type d’identité est certifiée (par l’ANSSI en France). L’audit sous-jacent permet de vérifier que la solution répond aux exigences du règlement européen eIDAS sur l’identité et les services de confiance. En France une seule identité électronique est aujourd’hui certifiée au niveau substantiel : l’identité numérique de La Poste.

Une autre solution permet de répondre à ces mesures de vigilance complémentaires : la vérification d’un titre d’identité avec reconnaissance faciale, ce que l’on appelle couramment un « facematch ». Rapide, ce processus de vérification « à la volée » ne nécessite pas d’enrôlement préalable.

Tout comme pour l’identité électronique, les Prestataires de Vérification d’Identité à Distance (PVID) doivent être audités pour être certifiés par l’ANSSI. Il n’existe pas encore d’acteurs certifiés et nous pouvons estimer que les premiers le seront au plus tôt pendant le second trimestre 2022.

Concrètement, comment cela fonctionne-t-il chez Netheos ?

Nous utilisons le « facematch » : l’utilisateur présente son document d’identité recto et verso à la caméra, puis bouge légèrement la tête pour prouver que c’est bien une personne face à l’objectif. C’est ce que l’on appelle la détection du vivant. Cela évite tout simplement que l’on puisse prendre en photo une photo. Un challenge permet également d’éviter le vol d’identifiants, et donc l’usurpation d’identité.

L’identité numérique peut-elle poser un problème de compatibilité avec le RGPD ?

L’identité électronique, comme la vérification d’identité à distance, est bien évidemment compatible avec le RGPD. La CNIL a d’ailleurs été consultée à plusieurs étapes de la création du référentiel de certification PVID. Un acteur certifié a une pratique obligatoirement conforme au RGPD.

Le KYC peut être utilisé comme un outil marketing, l’identité numérique est-elle également pertinente dans cette optique ?

Les moyens de prouver son identité en ligne sont tous synonymes de modernité ; ils simplifient l’expérience client et réduisent considérablement les abandons de parcours : ils constituent donc un formidable accélérateur de business. Les données personnelles récoltées ne sont cependant pas utilisables pour des applications dites « marketing ». Et c’est heureux !

À votre avis, l’identité numérique doit-elle être centralisée, avec la carte d’identité numérique ?

L’identité portée dans la carte nationale d’identité sera sans doute de niveau élevé et utilisable pour des usages régaliens. Il me semble intéressant d’encadrer le secteur privé et ses usages d’une part, et de fournir à chaque citoyen une identité régalienne d’autre part. Cela contribuera à la diversité des moyens et des usages. Mais d’un point de vue sécuritaire, la centralisation est rarement une bonne idée sur le plan de la confidentialité des données.

La biométrie va-t-elle prochainement bouleverser l’identité numérique telle qu’on la connait ?

C’est certain. Les solutions biométriques viendront renforcer, ou même remplacer, les mots de passe dont la prolifération encourage les mauvaises pratiques : un mot de passe unique pour plusieurs services, par exemple. Elles constituent un moyen d’authentification simple, qui aujourd’hui est mature, et donc sécurisé. On le voit bien avec les smartphones.

Quels sont, selon vous, les grands défis à relever en termes d’identité numérique ?

Il faut avant tout atteindre une masse critique d’utilisateurs. Cela passe par une éducation du marché, qui sera progressive. Mais le Covid a montré l’intérêt du distanciel : tout ce qui pourra simplifier et sécuriser les usages, trouvera une clientèle.