Devenir client d'une banque sans jamais rencontrer quiconque : durcissement des règles en vue

OPINION. La Commission européenne veut mettre de l'ordre dans les procédures d'acquisition de client totalement à distance. Elle a demandé à l'Autorité bancaire européenne (ABE) de rédiger une proposition de lignes directrices dont nous analysons les détails. Par Bruno Colmant (université de Bruxelles), Charles Cuvelliez (université de Bruxelles, École Polytechnique de Bruxelles) et Jean-Jacques Quisquater (université de Louvain, École Polytechnique de Louvain et MIT).
(Crédits : Reuters)

Devenir client d'une banque ou d'une institution financière entièrement à distance sans jamais devoir aller en agence, sans même rencontrer quiconque, est devenu habituel. Cette facilité s'est même accélérée avec le Covid-19. Mais qui dit procédure à distance dit soit une (sur)collecte d'informations détaillées, intrusives, pour éviter les risques de blanchiment d'argent, de financement du terrorisme, soit trop de légèreté dans la vérification. Dans un cas, le client fuira devant tant d'intrusion, dans l'autre, il suffira d'un paiement au nom de quelqu'un qui ne sait pas qu'on a ouvert un compte en son nom pour blanchir de l'argent ou financer du terrorisme.

 La Commission européenne veut mettre de l'ordre dans les procédures d'acquisition de client totalement à distance. Elle a demandé à l'Autorité bancaire européenne (ABE) de rédiger une proposition de lignes directrices. Elles sont en consultation jusqu'à mars 2022.

La première recommandation qu'on y trouve n'étonnera pas : il faut des procédures écrites noir sur blanc décrivant les solutions mises en place pour collecter, vérifier et conserver les informations recueillies pendant l'activation du client, bien y distinguer ce qui sera fait par un tiers mais prévoir, le cas échéant, des solutions sur mesure par catégorie de client selon leur exposition plus moins grande au blanchiment d'argent. L'ABE ne semble pas en faveur d'une procédure universelle pour tous les clients. La première transaction ne peut avoir lieu que si le client a subi toute la procédure d'identification et d'authentification (onboarding). Pas question de lui permettre de goûter au service avant d'avoir montré patte blanche. C'est compréhensible : il suffit d'un seul paiement, le premier paiement, pour blanchir de l'argent et s'évanouir dans la nature ensuite. Le personnel doit être formé et entrainé pour garder un esprit critique par rapport à la réponse toute faite de la technologie : haro sur la tentation de la boite noire.

Le comité de direction a la décision finale

Le comité de direction devra se mouiller lui-même, approuver la procédure qui sera utilisée pour l'acquisition à distance du client. Il faudra une étude approfondie de la fiabilité de la procédure avant de la mettre en œuvre. L'ABE veut sans doute lutter contre la tentation de se dire qu'on améliorera les choses, en cours de route, s'il y a des trous dans la raquette qu'on n'avait pas vus. La solution technique ne peut pas non plus être figée : elle doit pouvoir s'adapter à des changements légaux ou réglementaires. L'ABE n'est pas contre une solution complètement automatisée à condition qu'une surveillance de sa fiabilité et de son adéquation soit effectuée.

Les procédures approuvées par le comité de direction contiendront ce que les banques veulent obtenir des clients pour les identifier. Elles devront faire la différence entre ce qui est entré manuellement, capturé automatiquement ou collecté via des sources extérieures. Si un compte est ouvert pour une firme, il faudra vérifier, toujours à distance, que la personne, non contente de prouver qui elle est, est habilitée à représenter la firme.

Des questions devront être posées aux personnes physiques sur la nature de leur activités personnelles, professionnelles ainsi que les sources de revenus et vérifier que cette information est correcte suggère l'ABE. Les clients en devenir apprécieront-ils de se faire fliquer sur leurs revenus ?

L'institution financière peut accepter des copies papier, des photos, des scans de son futur client pendant la procédure mais si elle n'a pas l'occasion de les voir de visu, elle devra avoir suffisamment d'assurance de la fiabilité des copies fournies. Si les originaux contenaient des marqueurs de sécurité, si la copie peut les reproduire, cela peut aider. Il faut évidemment vérifier l'absence d'altération des données personnelles. En cas de reconnaissance optique de caractères, il faudra garantir sa fiabilité.

Et cela continue... L'institution financière peut recourir aux données biométriques mais elles doivent être irréprochables. Il ne faut évidemment pas se contenter de collecter les données biométriques : il faut vérifier qu'elles correspondent à la personne qui s'enregistre. Qui peut garantir, en effet, que ce n'est pas quelqu'un d'autre qui met son index sur smartphone de celui qui officiellement devient client. S'il y a un risque accru de blanchiment ou de financement du terrorisme, en cas d'activation d'une entreprise comme client, l'ABE recommande une procédure en direct et de vérifier que les photos et données biométriques correspondent bien à la personne qui était présente au moment de la capture des données. La vidéoconférence est admise.

Repasser en physique

Il ne faut pas craindre de mettre fin à la procédure à distance sur le champ en cas de problème de qualité ou d'ambiguïté : il faut retomber sur du face à face. Il faudra du courage à une banque pour dire à son futur client qu'on veut le voir en personne quand tout avait bien commencé à distance.

Quand il y a prise de photographie, comment s'assurer qu'elle est prise au moment de la procédure et qu'il ne s'agit pas d'une photo ancienne de quelqu'un d'autre. Il suffit, dit l'ABE, de la contextualiser : par exemple, demander plusieurs photos de face et de profil au moment même. On peut demander au futur client qui prend une photo de lui-même de faire une action particulière au moment même. L'ABE n'a pas pensé - comme dans les histoires de kidnapping d'autrefois pour prouver que la victime était encore vivante - à demander une copie de la une des journaux du jour ....

Si la procédure se fait à l'aide d'une vidéoconférence, il faut prévoir dit l'ABE la participation de personnes entrainées à la problématique du blanchiment d'argent ou du financement du terrorisme. Comme pour un interrogatoire policier, il faut pouvoir être capable de déceler une attitude suspecte pendant l'interview. Il ne manque que le détecteur de mensonge à distance (qu'il faut encore inventer).

Sécuriser le premier paiement

Enfin, en cas de risque accru de blanchiment, le premier paiement doit se faire dans la zone EEA (espace économique européen) ou vers un pays qui a une réglementation en matière de blanchiment ou de financement du terrorisme. Un passcode sera utilisé pour vérifier que le paiement s'est bien fait avec la même personne qui s'est enregistrée.  On peut aussi procéder à un contrôle biométrique ou téléphoner au client.

Enfin, des tiers peuvent être utilisés. La régulation eiDAS sert de référence pour garantir une utilisation d'un fournisseur d'identité digitale qui ne tomberait pas sous sa coupe. Faire attention aussi de prévoir les cas d'identité numérique, volée ou perdue ou expirée ou révoquée.

La question des deepfakes n'est curieusement pas abordée : il s'agit de ces techniques par lesquelles on peut parler avec la voix de quelqu'un d'autre ou le mettre en scène pour lui faire dire ce qu'il n'a jamais dit. Pour contrer les deepfakes, qui demandent du temps de calcul avant d'être prêts, rien ne vaut le direct, des questions inattendues. L'ABE aurait pu aussi mettre l'accent sur l'utilisation simultanée de méthodes d'authentification/identification : les leurrer simultanément est plus difficile. Il faudra aussi réfléchir à l'utilisation éventuelle de notaire comme aux Etats-Unis (public notary) quitte à leur donner un autre nom en Europe. Enfin, les communes peuvent aussi jouer ce rôle d'authentifier une personne. L'ABE pêche peut-être par un excès du tout à distance comme s'il n'était définitivement plus possible de faire autrement.

_____________________________________________________________

Pour en savoir plus: European Banking Authority - Draft Guidelines on the use of Remote Customer Onboarding  Solutions under Article 13(1) of Directive (EU) 2015/849

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 18/01/2022 à 13:08
Signaler
Je croyais que c'était par méfiance envers les établissements bancaires pour que les clients ne se fassent pas avoir mais non bien sûr c'est par méfiance envers les clients ! Ah les banksters... mais jusqu'où iront ils ? ^^

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.