KYC : mapping des réglementations européennes

La réglementation comme outil de lutte contre la fraude et le blanchiment

Immobilier, cryptomonnaie, énergie, mobilité, assurance, télécommunications, paris sportifs, jeux en ligne : nombreux sont les secteurs d’activité concernés par les processus KYC (Know Your Client) de vérification d’identité… et les obligations légales associées. Et que dire du domaine de la finance ? Celui-là même à l’origine de la mise en place des procédures KYC dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme fixé par la directive européenne LCB-FT. Mais si, aujourd’hui, les entreprises et les organisations ont conscience de l’importance de se mettre en conformité avec la réglementation et donc de s’intéresser au KYC, elles sont moins familières de l’éventail d’obligations qui leur incombent. Pas de panique. Cet article se propose précisément de passer en revue l’ensemble des réglementations européennes relatives au KYC.

Une réglementation qui ne date pas d’hier

Les institutions européennes n’ont pas attendu le scandale des Panama Papers ni la recrudescence du terrorisme à travers le monde pour s’affronter aux problèmes du blanchiment d’argent, de la fraude ou du financement du terrorisme. Ces questions sont au cœur des travaux du Parlement européen depuis plus de 30 ans et la publication, en 1991, de la première directive sur la lutte contre le blanchiment (LCB). 

En 2005, et en réponse notamment aux attaques du 11 septembre, le dispositif se renforce et englobe le financement des activités terroristes. Ces deux premières directives constituent le socle de la réglementation LCB-FT. Son objectif ? Définir les activités de blanchiment d’argent et de financement du terrorisme ainsi que les sanctions attenantes pour l’ensemble des pays membres de l’Union européenne (UE). La 4ème directive, transposée en droit français en 2016, précise quant à elle les modalités de l’identification et de la vérification de l’identité des clients. Elle impose également des mesures de vigilance à l’entrée et tout au long de la relation d’affaires. 

La 5^ème directive LCB-FT : un tournant majeur

Mais très vite, ces directives se sont révélées obsolètes. Et, cette fois-ci, les scandales d’évasion fiscale comme la menace terroriste n’y sont pas tout à fait étrangers… Ils ont sans aucun doute précipité l’adoption, en mai 2018, de la 5^ème directive, bien aidés, il est vrai, par la transformation des habitudes de consommation et l’essor des cryptomonnaies et autres néobanques. 

Transposée en droit français en février 2020, cette directive harmonise les niveaux d’information et de vérification d’identité retenus lors du processus KYC. Mais pas seulement. Elle vise également à :

• renforcer le contrôle des informations des clients ;
• élargir l’accessibilité des registres des bénéficiaires effectifs des personnes morales ;
• tracer davantage les transactions provenant de cryptommaines ou de cartes prépayées ;
• imposer un devoir de vigilance en cas de transactions inhabituelles.

La 6^ème directive LCB-FT : la dernière née

Dernière en date ? La 6^ème directive, entrée en vigueur le 3 décembre 2020 et dont l’apport majeur concerne la définition de 22 infractions criminelles en matière de blanchiment d’argent et de financement du terrorisme et l’alourdissement des sanctions encourues. Amendes pénales ou non, peine d’emprisonnement de 4 ans pour les particuliers et les personnes physiques représentant ou ayant pouvoir de décision au nom de personnes morales, exclusion temporaire de l’assistance sociale, interdiction temporaire d’exercer des activités commerciales, confiscation des activités commerciale, exclusion de l’accès au financement public, etc. : le catalogue des sanctions s’est élargi. 

Et ces sanctions sont appliquées. En effet, le régulateur se montre intraitable à l’égard de ceux et celles qui voudraient se soustraire à leurs obligations. Rien qu’en 2022, la commission des sanctions de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a infligé plus de 14 millions d’euros d’amendes à des institutions financières pour manquement à leurs obligations réglementaires. Parmi les 39 griefs retenus, plus d’un tiers concernait le processus KYC. Les amendes peuvent atteindre des montants records. Un grand acteur de l’assurance s’est ainsi vu infliger 3,5 millions d’euros de sanction pour des carences relevées en matière de lutte contre le blanchiment et le financement du terrorisme.

Une réglementation garante de la confiance numérique

La protection des données personnelles : l’enjeu du siècle

Vérifier l’identité de ses clients et utilisateurs est donc essentiel pour les entreprises. Mais cette vérification implique non seulement de collecter et d’analyser un nombre considérable de données confidentielles mais aussi de les traiter et de les stocker. Ce qui n’est pas sans soulever des difficultés. Car, aujourd’hui, la protection des données personnelles constitue un sujet sensible que les entreprises ne sauraient plus ignorer. 

Le Règlement général sur la protection des données (RGPD) vise précisément à encadrer le traitement des données personnelles sur le territoire de l’UE. Comment ? En imposant aux entreprises de protéger les données personnelles qu’elles manipulent et, du même coup, la vie privée des citoyens européens. Ce règlement s’applique à toutes les transactions ayant lieu entre les frontières de l’UE et à toutes les données personnelles appartenant à des résidents de l’UE et ce, peu importe que ces données soient traitées par des entités extra-européennes. Il concerne tout particulièrement les données collectées lors d’un processus KYC qu’il s’agisse de caractéristiques physiques ou biologiques ou de données biométriques (empreintes digitales, reconnaissances faciales). D’où toute l’importance que le fournisseur de solution KYC ait fait le choix, comme be ys, de stocker ces données sensibles sur un cloud souverain plutôt que de déléguer ce traitement à une entreprise tierce. 

PSD 2 : la sécurisation des opérations et des activités en ligne… de mire

Autre sujet épineux ? La sécurité des opérations et des activités en ligne. Sur le sol européen, l’enjeu est immense puisqu’il concerne un marché de plus de 500 000 millions d’utilisateurs. Comme son prédécesseur, la 1^ère directive européenne sur les services de paiement (Payment Services Directive), la norme PSD2 vise à encadrer l’accès à la banque en ligne et à renforcer la sécurité des paiements électroniques. Pour ce faire, elle poursuit un double objectif : 

• accroître la protection des consommateurs en ligne ;
• faciliter l’accès au marché européen des entreprises grâce à la standardisation des processus liés aux paiements électroniques.

La directive PSD2 lutte elle aussi à lutte LCB-FT grâce à l’introduction, pour quasiment tous les paiements électroniques, de la SCA (Strong Customer Authentication soit, en français dans le texte, “authentification forte du client”), un processus d’identification à double facteur”. Pour être considérés comme “sûrs”, les paiements électroniques doivent inviter les utilisateurs et clients à réaliser au moins deux des étapes suivantes : 

• fournir un gage de connaissance (numéro PIN ou mot de passe) ;
• s’identifier avec un objet de paiement physique ou par son téléphone ;
• valider le paiement à l’aide de données biométriques (empreinte digitale ou identification vocale).

Bon à savoir : 

Trois projets de textes visent à réformer actuellement le marché européen des paiements en ligne autour de deux objectifs : une révision de la directive sur les services de paiement (PSD 3 et le Règlement sur les services de paiement) et la mise en place d’un cadre législatif pour permettre l’accès aux données financières (FIDA).

eIDAS 2.0 : un game changer pour la vérification d’identité

En 2022, la Commission européenne a proposé de réviser le règlement eIDAS qui régissait depuis 2014 l’identification électronique et les services de confiance dans l’Union européenne. L’enjeu de cette révision ? Renforcer la sécurité et la résilience des systèmes d’identification numérique européens, faciliter l’utilisation de l’identité numérique dans de nouveaux domaines et améliorer la coopération entre les États membres.

Concrètement, eIDAS 2.0 va :

• créer un portefeuille d’identité numérique pour tous les résidents de l’Union européenne (European Digital identity Wallet) et donc un espace unique où seront regroupées les données liées à l’identité numérique de chaque personne ;
• permettre aux citoyens européens d’accéder à des services publics et privés dans toute l’UE grâce à une identité numérique unique ;
• confirmer l’importance du KYC pour garantir que les identités électroniques émises conformément à eIDAS sont authentiques et vérifiables ;
• renforcer les exigences de sécurité pour les acteurs de la confiance numérique ;
• améliorer encore davantage la sécurité des échanges électroniques.

Pour les entreprises, la création du portefeuille d’identité numérique est le gage de nouvelles opportunités et d’une expérience consommateur simplifiée. Les consommateurs pourront partager les informations nécessaires plus rapidement et de manière plus sécurisée. Un gain de temps et d’argent pour les entreprises qui participera à simplifier et sécuriser leurs échanges et donc à renforcer la confiance de leurs clients.

Une réglementation européenne mise en œuvre

La France face à ses obligations

Si elles sont prises au niveau de l’UE, les directives européennes relatives à la lutte contre le blanchiment de capitaux et le financement du terrorisme doivent être transposées en droit national. Les États membres peuvent choisir de renforcer leur dispositif réglementaire. Pour la France, on citera notamment :

• la Loi Sapin II du 8 novembre 2016 pour la transparence, l’action contre la corruption et la modernisation de la vie économique ; 
• l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution ; 
• le décret du 18 avril 2018 renforçant le dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme.

Le Code monétaire et financier (CMF) établit d’autres obligations dont une obligation de vigilance pour tous les professionnels visés par son article L. 561-1. Ces derniers doivent s’assurer de mettre en place des contrôles à l’entrée en relation d’affaires avec un tiers ainsi que des dispositifs adaptés pour vérifier l’identité de leurs clients. Pour cela, ils peuvent se fier à différents documents et faire appel à une solution de confiance pour automatiser leur processus KYC pour s’assurer que leur client est bien celui ou celle qu’il prétend être. 

Ailleurs en Europe

Pour choisir leurs prestataires de confiance, les entreprises peuvent s’en remettre à des référentiels nationaux d’exigences destinés aux Prestataires de Vérification d’Identité à Distance comme le PVID en France ou le VDG (Vertrauensdienstegesetz) en Allemagne.
D’ailleurs, notre tour d’horizon ne serait pas complet, si nous ne faisions pas mention des réglementations en vigueur dans les pays voisins de la France :

• Allemagne :  la Geldwäschegesetz  (loi sur le blanchiment d’argent qui énonce les exigences AML/KYC/KYB pour les banques et les autres entités financières) ;
• Belgique : la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme et à la limitation de l’utilisation des espèces ;
• Luxembourg : la loi du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme (Loi LBC-FT) ;
• Pays-Bas : le Wet ter voorkoming van witwassen en terrorismefinancierung (loi sur la prévention du blanchiment d’argent et du financement du terrorisme) ;
• Suisse : la loi sur le blanchiment d’argent (LBA) ;
• …

Pour aller plus loin encore

Et si nul n’est censé ignorer la loi, les entreprises, quel que soit leur secteur d’activité, seront bien inspirées de jeter un œil :

• aux recommandations du Groupe d’action financière (GAFI) reconnues comme les normes internationales en matière en lutte contre le blanchiment de capitaux et le financement du terrorisme ;
• aux listes noires et grises du GAFI ; aux listes des personnes politiquement exposées ;
• aux recommandations de TRACFIN, la cellule de renseignement français chargé de la lutte contre les fraudes et le financement du terrorisme ;
• aux recommandations de l’Autorité des marchés financiers (AMF) notamment pour les sociétés de gestion de portefeuille, les entreprises d’investissement ou les conseillers en investissements financiers ;
• aux guidelines de l’ACPR qui forment le socle du KYC et ont notamment fait émaner le principe du « Complain or Explain ».

Ces recommandations, non contraignantes, fournissent une bonne basse pour se mettre en conformité avec les différentes réglementations européennes, lutter efficacement contre la fraude, le blanchiment d’argent ou le financement du terrorisme et, accessoirement, éviter les sanctions… de la part des autorités compétentes comme des clients !

En résumé