Solutions automatisées de connaissance du client

Si l’objectif premier de la connaissance du client peut varier d’un secteur à l’autre, la connaissance du client se compose généralement d’étapes distinctes destinées à vérifier l’identité du client à l'aide de procédés de vérification de la connaissance du client structurés. Les plateformes de vérification de l’identité aident les entreprises à vérifier l’identité de leurs clients et à évaluer les risques de fraude. Cela est particulièrement important (et représente une obligation légale) pour les établissements financiers, qui sont très réglementés.

La procédure KYC instaure la confiance entre les entreprises et leurs clients, ce qui profite en fin de compte aux deux parties. En mettant en œuvre des processus robustes de vérification de l’identité lors de l’intégration et en développant une compréhension du comportement habituel des clients, comme les schémas de transaction, les entreprises peuvent repérer les activités suspectes et prévenir les activités criminelles telles que le blanchiment d’argent.

Les contrôles ayant pour objectif la connaissance du client (KYC) sont effectués lorsqu’une entreprise souhaite établir une relation d’affaires avec une personne physique. Les contrôles ayant pour objectif la connaissance de l’entreprise (KYB) sont effectués lorsqu’une entreprise souhaite établir une relation d’affaires avec une autre entreprise. Les contrôles KYB impliquent généralement l’identification de l’ultime bénéficiaire effectif afin de déterminer qui pourrait bénéficier de l’activité financière de l’entreprise. Il s’agit aussi souvent de déterminer si une entreprise fait l’objet d’une surveillance de personnes politiquement exposées (PPE) et de contrôles de sanctions, ou si elle a été associée à des activités illicites par le biais de médias défavorables.

Oui, la connaissance du client est une obligation légale dans de nombreux secteurs. Le secteur des services financiers est très réglementé. Des règles sont applicables à l’établissement de nouvelles relations avec les clients ainsi qu’à la gestion et au suivi continus des comptes des clients. Seuls des processus de connaissance du client minutieux et cohérents, notamment l'automatisation et les logiciels de conformité de la connaissance du client, permettent à ces organisations de contrer les activités illégales telles que le blanchiment d’argent, la corruption, etc.

Royaume-Uni
Au Royaume-Uni (R.-U.), la réglementation relative à la lutte contre le blanchiment d’argent (AML) est décrite dans la loi sur le terrorisme (2000), la loi sur les produits du crime (2002) et la réglementation sur le blanchiment d’argent, le financement du terrorisme et le transfert de fonds (2017). D’autres réglementations et orientations concernent la biométrie, les cryptomonnaies et l’évolution des règles KYC et AML.

Union européenne
Les entreprises opérant dans l’Union européenne (UE) doivent se conformer aux réglementations énoncées dans les cinquième et sixième directives anti-blanchiment (également connues sous le nom de 5AMLD et 6AMLD). D’autres règlements de l’UE concernent les meilleures pratiques en matière d’IA et les réformes qui ont été élaborées pour inclure des conseils spécifiques liés à divers cas d’utilisation, tels que les services de jeux d’argent et les procédures rigoureuses de vérification de l’identité à distance.

États-unis
En ce qui concerne la connaissance du client, le Patriot Act des États-Unis a été conçu pour « dissuader et punir les actes terroristes aux États-Unis et dans le monde entier, pour améliorer les outils d’enquête des forces de l’ordre, et pour d’autres raisons ».

Si la section 326 du USA Patriot Act ne représente pas l’origine de la réglementation et de la conformité KYC aux États-Unis, elle représente certainement une évolution importante. La règle relative à la connaissance du client (« Know Your Customer ») du USA Patriot Act exige que les établissements financiers mettent en place des mesures de protection contre le blanchiment d’argent, le financement du terrorisme, l’usurpation d’identité et d’autres formes de fraude.

En fin de compte, que les entreprises opèrent au Royaume-Uni, dans l’Union européenne, aux États-Unis ou ailleurs, les exigences de KYC servent effectivement à :

• renforcer les mesures nationales visant à prévenir, détecter et punir le blanchiment d’argent et le financement du terrorisme au niveau international ;
• soumettre les juridictions étrangères, les institutions financières étrangères et les catégories de transactions internationales ou les types de comptes susceptibles de faire l’objet d’abus criminels à un examen particulier ;
• exiger de tous les éléments appropriés du secteur des services financiers qu’ils signalent les cas potentiels de blanchiment d’argent ;
• renforcer les mesures visant à empêcher l’utilisation des systèmes financiers à des fins personnelles par des fonctionnaires étrangers corrompus (et faciliter le rapatriement des avoirs volés aux citoyens des pays auxquels ces avoirs appartiennent).

Pour en savoir plus sur la manière dont Entrust permet aux entreprises de satisfaire aux exigences de conformité internationales, consultez notre Guide à l’usage des responsables de la conformité mondiale ou notre Guide à l’usage des responsables de la conformité européenne.

Outre la conformité, la connaissance du client présente également ces avantages :

• Prévention de la fraude et du blanchiment d’argent : des processus KYC solides contribuent à renforcer la confiance dans l’identité des clients et à les protéger contre des menaces telles que l’usurpation d’identité et divers types de délits financiers, dont la réparation peut s’avérer coûteuse une fois qu’ils se sont produits.
• Réduction des coûts : Des processus de connaissance du client complets et correctement mis en œuvre aident les organisations à éviter les amendes et autres pénalités qui pourraient avoir des conséquences financières graves. Lorsque ces processus peuvent être automatisés et numérisés, ils sont encore plus rentables grâce aux solutions automatisées de connaissance du client réduisant la charge de travail manuelle.
• Confiance accrue des clients : de nombreux clients sont conscients des diverses menaces que présente le monde moderne, notamment le risque d’usurpation d’identité ou d’autres formes de fraude. Lorsque les entreprises mettent en œuvre des solutions fiables qui atténuent ces risques, les clients savent qu’ils peuvent travailler avec elles en toute confiance.

Comme indiqué plus haut, l’un des principaux objectifs de l’adhésion au système KYC est de détecter et de prévenir les activités suspectes, y compris le blanchiment de capitaux. Les pratiques de lutte contre le blanchiment d’argent (AML) font référence à des procédures spécifiques que les institutions financières utilisent pour prévenir les activités criminelles, telles que les tentatives de dépôt ou de transfert de fonds générés par des activités illicites ou illégales. Compte tenu de la prévalence de la fraude financière, on ne saurait surestimer l’importance de la lutte contre le blanchiment d’argent dans le cadre du processus de connaissance du client (KYC).

Tout comme pour la conformité KYC, des réglementations internationales et locales en matière de lutte contre le blanchiment d’argent sont requises pour certains types d’entreprises. La surveillance continue et la gestion des risques sont cruciales car les personnes peuvent être sanctionnées (ou soumises à des restrictions par les autorités) alors qu’elles ont déjà entamé une relation bancaire. Les équipes KYC et AML travaillent main dans la main pour établir un cadre permettant aux organisations de rester en conformité avec la loi, de protéger l’identité et les données personnelles de leurs clients et de prévenir la fraude.

En ajoutant la vérification de l’identité au moment de l’inscription, les entreprises peuvent s’assurer que les clients sont bien ceux qu’ils prétendent être dès le début de leur relation, jetant ainsi des bases solides pour la diligence raisonnable future et la surveillance continue grâce à l'évaluation des risques en continu et à la vérification automatisée de la connaissance du client.

Il existe deux façons principales de suivre les processus KYC : un processus manuel (sur papier) et un processus en ligne (numérique), parfois connu sous le nom de connaissance électronique du client (eKYC).

Comme on peut s’y attendre, la connaissance du client a commencé par être un processus physique, qui s’est depuis transformé en un processus essentiellement numérique.

Pourquoi ce changement ? Cela s’explique en grande partie par les nombreux défis posés par le processus manuel ou hors ligne, parmi lesquels :

• La saisie manuelle de données, y compris la vérification des informations, l’identification et la correction des erreurs, et le suivi des clients pour recueillir des informations complémentaires. Ces processus, lorsqu’ils sont effectués manuellement, prennent beaucoup de temps et sont sujets à des erreurs humaines.
• Des coûts élevés, y compris les salaires et le risque d’amendes réglementaires élevées.
• Une expérience client médiocre due à des processus fastidieux qui devaient être accomplis en personne.
• La difficulté de se tenir au courant des réglementations sectorielles, qui évoluent constamment et sont mises à jour au regard des nouvelles menaces sophistiquées liées à l’usurpation d’identité et à la fraude financière.
• Des menaces pour la sécurité, y compris les violations de données qui peuvent considérablement éroder la confiance des clients et entraîner de lourdes pénalités financières pour les banques et autres entreprises.

La numérisation de la connaissance du client permet de rationaliser l'intégration, d'améliorer la précision et de renforcer les contrôles de conformité.

Les quatre éléments les plus importants d’un cadre KYC/eKYC équilibré et performant sont les suivants :

• Politiques d’acceptation des clients
• Processus d’identification des clients
• Diligence raisonnable à l’égard des clients et diligence renforcée
• Surveillance continue et gestion des risques

1. Politiques d’acceptation des clients

   Les établissements financiers et les autres organisations doivent définir des politiques d’acceptation des clients qui déterminent les types de profils de clients qui présentent différents niveaux de risque.

   Par exemple, une personne cherchant à ouvrir un compte-chèques ou un compte d’épargne standard avec des fonds modestes peut ne pas représenter un risque trop important pour l’établissement. Les exigences en matière de connaissance du client sont alors susceptibles d’être moins strictes que pour les clients fortunés (ou ceux ayant des besoins complexes).

   Une banque n’aura pas nécessairement besoin d’appliquer des procédures d’examen extrêmement rigoureuses ou longues pour ces comptes. En effet, de telles procédures risqueraient d’entraîner de la frustration chez les clients et de les faire fuir. L’automatisation des processus KYC, que nous aborderons un peu plus loin, permet une accélération sans compromis sur la précision. En revanche, si un client possède un patrimoine particulièrement fourni ou si l’origine de ses fonds n’est pas claire, l’établissement financier serait bien avisé d’examiner de plus près sa situation financière afin de comprendre les risques potentiels et la manière dont ils peuvent être atténués.

2. Programmes d’identification des clients

   Qui sont vos clients ? Comme son nom l’indique, l’identification des clients implique une série d’étapes destinées à garantir que tous les clients qui traitent avec un établissement financier sont bien ceux qu’ils prétendent être (et que leur activité est légitime).

   Aux États-Unis, les établissements financiers sont tenus de respecter un programme d’identification des clients (CIP), mandat mis en œuvre par le Financial Crimes Enforcement Network (FinCEN), un bureau du département du Trésor des États-Unis.

   La règle CIP du FinCEN fixe des exigences minimales pour l’intégration de nouveaux clients. Bien que celles-ci varient quelque peu en fonction de facteurs tels que la taille de l’organisation et sa situation géographique, elles doivent toujours inclure l’identification et la vérification des personnes qui ouvrent un compte, la tenue organisée et opportune des registres et la comparaison avec les listes gouvernementales afin de repérer les éventuelles divergences.

3. Diligence raisonnable à l’égard des clients

   La diligence raisonnable à l’égard des clients (CDD) désigne une série de contrôles visant à vérifier l’identité des clients et à comprendre leur profil de risque propre. Elle devient la base de toute mesure de diligence raisonnable renforcée (EDD) qui s’avère nécessaire en fonction du profil de risque du client.

   Quelles sont les 4 obligations de diligence raisonnable à l’égard du client ?
   La règle « Customer Due Diligence Rule » du FinCEN exige des institutions financières qu’elles établissent et maintiennent des politiques autour de quatre activités spécifiques :

   1. Identifier les clients et vérifier leur identité
   2. Identifier les propriétaires des entreprises et vérifier leur identité
   3. Comprendre la nature et l’objectif des relations avec les clients afin d’élaborer des profils de risque pour ces derniers
   4. Exercer une surveillance continue afin d’identifier et de signaler les activités ou les transactions suspectes, et maintenir et mettre à jour les informations relatives aux clients en ce qui concerne les risques et les niveaux de risque

4. Surveillance continue et gestion des risques

   Dans le contexte de la connaissance du client, la surveillance continue permet de s’assurer que la compréhension qu’a une entreprise de sa clientèle ou de sa base d’utilisateurs reste cohérente et exacte au fil du temps. La surveillance continue est conçue pour détecter les raisons pour lesquelles un établissement bancaire pourrait se voir interdire de traiter avec certains clients, en raison de sanctions nouvellement appliquées, par exemple.

   Elle permet également de protéger les actifs de l’entreprise, d’offrir une expérience positive aux clients et de rester en conformité avec la réglementation. Pour simplifier, la surveillance continue consiste à revenir régulièrement sur les étapes 1 à 3 décrites ci-dessus. Les entreprises peuvent ainsi déterminer si leurs politiques d’acceptation des clients, leurs PIC ou leurs procédures de diligence raisonnable doivent être adaptées ou mises à jour.

   Associée à la surveillance continue, la gestion des risques de connaissance du client contribue à garantir la conformité vis-à-vis des autorités locales et des régulateurs.

Les secteurs qui bénéficient le plus de procédures KYC/eKYC bien conçues et correctement mises en œuvre sont les suivants :

Services financiers

En raison de facteurs tels que la complexité des réglementations gouvernementales et sectorielles, la dépendance croissante à l’égard des services bancaires en ligne et la menace grandissante exercée par la criminalité financière dans le monde entier, les établissements financiers doivent mettre en place des processus KYC rigoureux.

Pourquoi la procédure KYC est-elle importante pour les banques ? 
Ces processus permettent aux banques et aux autres établissements financiers de vérifier l’identité des clients et d’évaluer tout facteur de risque pertinent. Le principal intérêt des processus KYC dans le secteur bancaire est qu’ils permettent de maintenir la conformité avec la réglementation gouvernementale. Ils permettent de s’assurer que leurs services ne sont pas utilisés à mauvais escient ou compromis d’une quelconque manière, et aident les organisations à lutter contre l’usurpation d’identité, le blanchiment d’argent et la fraude financière.

Quel rôle joue la procédure KYC dans les bourses de cryptomonnaies ?
Aux États-Unis, la réglementation fédérale classe les bourses d’échange de cryptomonnaies dans la catégorie des entreprises de services monétaires (MSB), et les pratiques KYC sont obligatoires pour la plupart de ces échanges. Comme pour les autres applications KYC en développement, les régulateurs surveillent en permanence le paysage, identifient les nouvelles vulnérabilités et menaces, et fournissent des orientations révisées pour protéger les bourses de cryptomonnaies et leurs utilisateurs.

Fournisseurs de soins de santé

Le secteur des soins de santé exige la conservation et le partage d’informations personnelles, dont une grande partie est régie par la loi HIPAA (aux États-Unis) et d’autres réglementations. Des réglementations spécifiques s’appliquent par région. En Europe, par exemple, ces garanties s’alignent sur le RGPD. En fait, selon Reuters, les informations médicales privées d’un patient valent au moins dix fois plus que son numéro de carte de crédit (sur le marché noir). En ce qui concerne le rôle des processus KYC dans les soins de santé, il est nécessaire de procéder à une vérification correcte et sécurisée des patients, faute de quoi de grandes quantités de données personnelles deviennent vulnérables aux entreprises criminelles à but lucratif et à une utilisation abusive.

Compagnies d’assurance

Quelle est l’importance de la connaissance du client pour les assurances ? Il s’agit en grande partie d’évaluer les risques potentiels avant de faire souscrire des polices d’assurance à de nouveaux clients (à l’instar de l’intégration de nouveaux clients dans le domaine des services financiers). Les compagnies d’assurance sont très intéressées par les types de risques posés par certains profils de clients, c’est pourquoi la mise en place – et, idéalement, l’automatisation – des processus de connaissance du client sont des bonnes pratiques qui méritent d’être appliquées. Ces entreprises s’appuient sur des procédures CDD/EDD approfondies, le filtrage des listes de sanctions et un suivi permanent des clients pour se protéger, elles et leurs clients, contre la fraude.

Places de marché et communautés en ligne

Lorsqu’une personne envisage de rejoindre une place de marché ou une communauté numérique, elle doit non seulement pouvoir se fier à la réputation et à la fiabilité de l’entité qui l’héberge, mais aussi à celle des autres utilisateurs. Pensez à eBay, par exemple. Lorsqu’un utilisateur crée un compte, il doit pouvoir être sûr que le site Web a mis en place des mesures de protection applicables pour protéger son identité et ses informations personnelles. Il doit également pouvoir être sûr que la communauté des utilisateurs dans son ensemble est protégée de la même manière contre les comptes d’utilisateurs frauduleux et les transactions non autorisées.

Plateformes et services de jeux en ligne

Les jeux en ligne sont une cible particulièrement appréciée des usurpateurs d’identité et des escrocs. Comme dans d’autres environnements en ligne, la vérification de l’identité et la confiance sont essentielles. Entrust aide les entreprises du secteur des jeux en ligne à respecter les exigences en matière de connaissance du client et de vérification de l’âge, à offrir une intégration efficace et une expérience utilisateur de qualité supérieure, et à protéger leurs revenus contre les fraudes potentielles en identifiant et en supprimant les faux comptes ou les comptes dupliqués.

Commerce de détail et commerce électronique

Aujourd’hui, les commerçants en ligne doivent trouver un équilibre entre la nécessité de proposer une expérience client efficace et la capacité de s’assurer que les titulaires de comptes sont bien ceux qu’ils prétendent être. Cela est particulièrement important pour les achats soumis à des restrictions d’âge. Avec Entrust, la vérification des documents se fait sans heurts. L’utilisateur peut prendre une photo de sa pièce d’identité et l’intelligence artificielle détecte rapidement les documents authentiques par rapport aux documents falsifiés.

Oui, de nombreux processus de connaissance du client peuvent être automatisés – et doivent l’être. Lorsqu’elle est bien réalisée, l’automatisation permet de rationaliser et d’accélérer l’intégration et de garantir un suivi et une conformité en continu.

Alors que le processus KYC était à l’origine essentiellement manuel, il est aujourd’hui largement numérisé. Pourquoi ce changement ? Cela s’explique en grande partie par les nombreux défis posés par le processus manuel ou hors ligne, parmi lesquels :

• La saisie manuelle de données, y compris la vérification des informations, l’identification et la correction des erreurs, et le suivi des clients pour recueillir des informations complémentaires. Lorsqu’ils sont effectués manuellement, ces processus prennent beaucoup de temps et sont sujets à des erreurs humaines.
• Des coûts élevés, y compris les salaires, la vérification de l’identité par un tiers et les coûts de développement technologique ou des licences, ainsi que le risque d’amendes réglementaires élevées.
• Une mauvaise expérience client due à des processus longs et coûteux liés à des activités telles que l’intégration et l’ouverture d’un compte.
• La difficulté de se tenir au courant des réglementations sectorielles, qui évoluent constamment et sont mises à jour au regard des nouvelles menaces sophistiquées liées à l’usurpation d’identité et à la fraude financière.
• Des processus incohérents et inefficaces qui pourraient bénéficier d’une rationalisation ou d’une automatisation afin de réduire les erreurs et d’offrir une expérience cohérente.
• Des menaces pour la sécurité, y compris les violations de données qui peuvent considérablement éroder la confiance des clients et entraîner de lourdes pénalités financières pour les banques et autres entreprises.

La solution de vérification d’identité d’Entrust fournit une vérification d’identité flexible et de bout en bout, y compris des vérifications documentaires et biométriques, la validation de données de confiance, la détection de la fraude, et plus encore – soutenant les solutions de connaissance du client exhaustives à grande échelle.

Les réglementations KYC dépendent du secteur et de la région géographique et sont en constante évolution. Découvrez les plus récentes dans notre Guide des exigences KYC de l’UE et notre Guide à l’usage des responsables de la conformité mondiale pour la vérification de l’identité .