« Know Your Customer », « Know Your Business ». La formule est trompeuse : elle a des allures de conseils pleins de bon sens, mais recouvre en réalité une obligation réglementaire stricte et plutôt complexe. Nos explications pour aborder le sujet avec l’esprit clair – et peut-être même faire de cette contrainte une opportunité.
KYC, KYB… KESACO ?
Il s’agit d’une réglementation spécifique au secteur bancaire, même si le principe vaut aussi pour les notaires, les avocats, les places de marché… Globalement pour toutes les entreprises qui souhaitent vérifier la probité de leurs clients.
Les banques européennes sont tenues de collecter des informations pour vérifier l’identité de leurs clients, particuliers (KYC) ou professionnels (KYB). Il s’agit alors de maintenir leur base de données aux normes conformément à la réglementation. Objectif : limiter les fraudes, le blanchiment d’argent et le financement du terrorisme. Le ton est donné, le sujet n’est pas à prendre à la légère.
De fait, les sanctions pénales et administratives peuvent être lourdes. En France, c’est l’Autorité de contrôle prudentiel et de résolution (ACPR) qui s’assure du respect de la loi. Mais pour les banques, la tâche n’est pas simple, car il n’existe pas une seule réglementation, mais un empilement de textes, façon « millefeuille », qui à lui seul pourrait mériter un diaporama.
De plus, si la vérification d’une identité client (personne physique ou morale) est relativement simple au moment de l’ouverture d’un compte, la suite du parcours est plus épineuse. Les banques sont soumises à une obligation de vigilance et doivent, dès qu’elles ont des soupçons de blanchiment d’argent ou de financement du terrorisme, communiquer à TRACFIN, organisme de Bercy, toutes les informations nécessaires à une enquête.
Cette phrase d’Avoka résume bien la situation : « S’il existe une cohérence concernant le KYC (Know Your Customer) sur le plan mondial, elle réside dans le fait que la réglementation, les coûts de mise en œuvre et de gestion opérationnelle ainsi que les amendes, continuent à augmenter. » *
Pas facile de s’y retrouver donc, mais c’est important, d’autant qu’une sanction de l’ACPR est publique et entache durablement une réputation.
Attention, pour simplifier nous parlons des « banques » mais d’autres organismes comme les compagnies d’assurance, les courtiers, les mutuelles, les établissements de crédit, sont concernés. Ainsi que les entreprises réalisant plus de 100 millions d’euros de chiffre d’affaires (loi Sapin 2).
LE NUMÉRIQUE CHANGE LA DONNE
On parle maintenant d’eKYC (ou eKYB), lorsque la procédure est numérisée. Il est difficile aujourd’hui de faire autrement si l’on veut réduire les coûts, automatiser toute ce qui peut l’être, limiter la « paperasse » et raccourcir les délais d’attente de quelques semaines à quelques heures ou minutes.
La charge du KYC/KYB est si lourde à porter qu’elle a donné naissance à un nouveau marché, florissant : la « RegTech », ou les start-uppers de la régulation.
Les nouvelles technologies d’authentification biométrique (reconnaissance faciale, vocale, d’empreintes digitales, de l’iris…) font partie des solutions récentes. Dans un autre registre, une mise en commun des données du KYC/KYB est envisagée par certains organismes, via une blockchain.
Entre intelligence artificielle et data science, le champ des possibles est immense. On commence même à parler de « zero-knowledge KYC », preuve à divulgation nulle, autrement dit un protocole permettant de prouver son identité (par exemple) sans avoir à la révéler.
Enfin, le sujet de la Cybersécurité, devenu critique, est à maintenir au premier plan pour toute inflexion envisagée dans votre stratégie KYC/KYB.
UN LEVIER DE PERSONNALISATION
Une contrainte donne presque toujours naissance à une (des) opportunité(s) comme ce fut le cas aussi pour le RGPD et pour la directive sur les services de paiement (DSP2) qui a ouvert la voie à l’Open Banking.
Dans le cadre du KYC/KYB, les données collectées permettent évidemment de mieux connaître ses clients, donc de personnaliser plus rapidement les services qu’on leur propose. Si vous le pouvez, évitez de demander plusieurs fois les mêmes informations (vérification des données que vous avez en possession) et expliquez-lui toujours pourquoi vous lui réclamez des documents. Il est fréquemment reproché aux banques de constituer des fichiers clients commerciaux sous couvert de sécurité.
Dans le domaine de la donnée et du KYC/KYB en particulier, il est indispensable de mettre au point une stratégie de communication. Il est préférable de former une équipe pluridisciplinaire associant la DAF, la DSI, la direction du numérique et la DirComm.
(*) Les règles d’exigence pour le processus KYC dans l’Union européenne – Journal du Net