KYC signifie (en bon français) Know Your Customer (Connaissance du Client). C’est une procédure utilisée, souvent via une application mobile, par une organisation pour vérifier l’identité de ses utilisateurs ( clients) afin de se conformer à la réglementation en vigueur.
Le contexte
Avec l’explosion des usages mobile et maintenant mobile Only, les éditeurs d’applications mobiles doivent être vigilants sur l’identité de leur client . En effet, de plus en plus de processus d’ »onboarding » des clients dans les applications mobiles inclus une vérification d’identité . Pourquoi cela ? il existe plusieurs cas necessitant aujourd’hui de vérifier l’identité de l’utilisateur d’une application mobile, via un processus KYC.
La multiplication des échanges à distance créé de nouveaux enjeux pour les organisations cherchant la sécurisation de leur service mobile et web grâce à l’identification de leur client et de leurs collaborateurs. En particulier , la tendance du BYOD (“Bring Your Own Device”), devient la norme dans les entreprises. Ainsi, les salariés ou les prestataires externes des entreprises (sécurité, logistique ) sont parfois amenés à utiliser leur propre appareil mobile personnel pour un usage professionnel. Pour l’entreprise, cela représente des risques en termes de sécurité et de confidentialité.
De nombreux secteurs, et en particulier le domaine bancaire, sont soumis à la réglementation AML en matière de lutte contre la fraude. Le KYC est un enjeu important , car en cas de manquement, les banques s’exposent à des sanctions de l‘ARCEP très couteuses en terme financier et d’image. La venue de nouveaux acteurs dans le secteur financier comme les fintechs, mais aussi le développement des jeux d’argent en ligne, des paris sportifs, implique différents niveaux de vérification de l’identité. Par exemple, les acteurs de jeux en ligne doivent être en mesure de vérifier l’âge de leurs clients lorsqu’ils ouvrent un compte.
Puisque l’utilisation d’une application ou d’un service se fait à distance, et ne permet plus de vérification physique. il s’agit donc de limiter les risques de fraude, en favorisant l’ instantanéité et l’accroissement des échanges , tout en préservant l’expérience client
Les enjeux de l’identité numérique
l’objectif est de proposer un KYC proportionnel au niveau de service et de règlementation
L’Identité Numérique doit d’abord être conformes avec les exigences RGPD. C’est bien sur le cas des organisation collectant des données via un KYC.
L’Identité Numérique permet de simplifier l’accès à son compte et de réduire significativement les risques de piratage, phishing et usurpation d’identité. Basiquement, elle facilite l’accès à son compte en cas d’oubli de mot de passe. Plus largement elle sécurise l’accès au compte et aux données personnelles avec une authentification forte à deux facteurs,
Dans un contexte de numérisation du domaine identitaire ( ID, passeport,..) L’Identité Numérique permet de renforcer les dispositifs de lutte contre la fraude identitaire et documentaire : usurpation d’identité, fausse création de compte, fraude documentaire.
La nécessité de renfort des contrôle avec le KYC, peut aussi être considéré comme une opportunité pour les banques, de plus en plus concurrencées par les néo banques. Elle leur permet de mieux connaitre leur client pour mieux personnaliser leur service. Ainsi, bien utilisée, l’Identité Numérique permet de proposer une expérience utilisateur plus fluide : suppression d’un grand nombre d’étapes lors de la création de compte et de la souscription à un service (ex : renseignement et vérification des données de contact, téléchargement de pièces d’identité, etc.) permettant d’augmenter le taux de conversion
Il est important de rappeler le contexte réglementaire sur les transactions financières. Depuis le13 février 2020, la 5eme directive et la modification du Code Monétaire et financier oblige tout établissement à identifier son client dès lorsqu’il réalise une transaction supérieure à 150€ par mois (contre 250€ auparavant)(transaction en ligne max 50 EUR)
Les moyens : les fournisseurs de services KYC
Quand on pense « onboarding » dans une application mobile, on utilise souvent des fournisseur d’identité externe (Apple, google ou Facebook par exemple). Cette solution couramment utilisée est souvent appelée fédération d’identité.
Toutefois, ces solutions peuvent répondre aux obligations RGPD , mais pas aux règlementations liées aux transactions bancaires
l’application du « KYC » reste un défi dans la mesure où cela recouvre un nombre important d’obligations plus ou moins contraignantes. Ces obligations représentent souvent un cout important de mise en place dans une application . De plus, les solutions a mettre en œuvre ne vont pas toujours de pair avec réactivité nécessaire à l’heure du digital.
Plusieurs prestataires spécialisés proposent des solutions. Depuis le 05 avril 2021 et la modification du CMF, les services KYC soit etre certifié comme PVID (Certification de Prestataire de Vérification d’Identité à Distance)En france, les acteurs suivants sont en cours (Ubble / IDNow / Ariadnext
L’objectif est de proposé au client un service proportionnel au niveau de KYC requis en fonction du service
le parcours KYC dans une application mobile
Le smartphone est aujourd’hui le moyen le plus rapide, pour réaliser un parcours KYC en quelques étapes . En général , il se décompose ainsi :
- Le client renseigne un certain nombre d’information personnelles via un formulaire
- Ensuite , le client scan un document d’identité, via la caméra de son smartphone . Les informations sont ensuite analysées automatiquement via une technologie OCR , qui va valider ou invalider les informations capturées
Pour les ID , dotée d’une puce NFC, la vérification sera plus rapide , si le smartphone est aussi NFC - Ensuite il est en général demandé de se prendre en photo, afin de vérifier à distance que le titulaire de la pièce d’identité est bien celui qui réalise le KYC . via un algorithme vérifiant la cohérence entre la photo de la pièce d’identité , et la photo prise, notamment en comparant l’écartement des yeux.
- Enfin , un étape de détection du vivant , via une vidéo permet d’ajouter un niveau de fiabilité supplémentaire . La solution biométrique, appelée communément LIVENESS, demande à l’utilisateur de faire un léger mouvement de tête afin de vérifier qu’il s’agit d’une personne réelle.
Ce parcours assure une réponse robuste contre la fraude . Cependant , malgré l’instantanéité des contrôle, il peut ¨¨être considéré comme complexe par l’utilisateur, et amener à un taux d’abandon important.
Et l’avenir ?
On peut supposer que les solutions de vérification de l’identité numérique vont continuer à se développer autour des usages financiers, identitaire, etc .
Depuis le le 3 juin 2021 Commission européenne , impose qu’un opérateur national d’identité numérique, soit défini par pays. Il y a fort a parier que France Connect devienne cette l’opérateur français . Par conséquent , les fournisseurs de « brique » KYC vont devoir s’adapter à cette nouvelle donne ou disparaitre.
L’autre évolution majeure est liée à la blockchain . En effet , depuis toujours l’identité numérique est traité par l’organisation qui la gère , et non pas l’utilisateur lui même. Dans l’univers toujours en évolution du web, le WEB 3 propose à l’utilisateur de reprendre le contrôle de ses données, et de son identification Numérique. Cette alternative a été baptisé « Self-Sovereign Identity (SSI) ». chaque individu possède alors un identifiant unique et infalsifiable , qui peut être utilisé par des services tiers pour vérifier son identité.
le SSI est pris au sérieux par de nombreuses organisations ( banque , état , université ) même si elle est encore exploratoire, et que la réglementation commence seulement à la prendre en compte.
