Pour tout fournisseur de fintech ou de finance, le monde de l'identification à distance pour AML-KYC est comme une jungle pleine de nouveaux chemins déroutants. Le problème est profond et touche tout le monde, des dirigeants d'entreprise aux chefs de produit et aux développeurs. Les réglementations diffèrent également d'un État membre à l'autre, ce qui crée des doubles standards pour la concurrence internationale.
Il est difficile de créer des services à distance conviviaux, mais des solutions émergent au moment même où nous parlons. Pour illustrer cela, voici cinq super tendances qui façonnent aujourd'hui l'avenir de l'identification à distance.
1. La fin de l'identification à faire soi-même
Pour l'Union européenne, l'identité, la signature et l'authentification à distance ouvrent clairement la voie à la future Union européenne numérique. Elle permettrait la libre circulation des biens et des services entre les États membres. Pourtant, à l'heure actuelle, ce domaine est confronté à de nombreux défis. Tout d'abord, il nous manque des lignes directrices claires et cohérentes pour créer ces outils. Un autre problème consiste à instaurer la confiance numérique dans notre société. Cela ne se fera pas sans une réglementation claire en matière de confiance aux frontières, de validation des signatures, de protection des données personnelles, de sécurité des informations et de surveillance.
En prenant des mesures, l'UE a introduit le règlement eIDAS qui concerne les prestataires de services de confiance autorisés. Il leur confère une responsabilité, en veillant à ce qu'ils respectent la réglementation, la législation et les normes européennes. Et c'est une bonne nouvelle pour vous. Ce système garantit moins de risques, moins de responsabilité et un nombre d'offres compétitif.
2. Plus de signatures électroniques ad hoc
Lorsqu'il s'agit de la qualité des signatures électroniques, de nombreuses variables entrent en jeu. L'une d'entre elles est la qualité de l'identification à distance. Elle dépend également du lien entre l'identification et la méthode de génération de la signature. Le dernier élément de cette liste est le degré de contrôle que l'utilisateur exerce sur sa signature.
À ce stade, la plupart des signatures électroniques sont soit de base (pas d'exigences du tout), soit avancées (exigences spécifiques dans le cadre d'eIDAS). Mais même les signatures avancées comportent des zones d'ombre. Il s'agit notamment de normes communes peu rigoureuses, de mécanismes de validation faibles pour les parties qui se fient à la signature et d'une surveillance insuffisante. Par conséquent, les offres de signatures électroniques vont des produits de type BankID à l'identification par courrier électronique et au clic sur un bouton pour signer. Et pour un acheteur qui cherche simplement une signature avancée fiable, c'est un choix difficile à faire.
Aujourd'hui, le coût marginal d'une signature qualifiée (la signature la plus élevée, la plus sûre et conforme à l'UE) est faible. Tout cela grâce aux derniers développements de l'informatique et de la technologie mobile. Cela permet également d'abaisser la barre de l'expérience utilisateur, ce qui constitue un excellent compromis.
3. Niveau Qualifié eIDAS = Diligence raisonnable du client conforme
Les frontières floues qui entourent l'identification à distance sont non seulement déroutantes, mais aussi distrayantes. Mais il y a une chose que beaucoup de praticiens (surtout dans l'UE) ne savent pas. C'est que les services fiduciaires eIDAS remplacent la nécessité d'une législation CDD spécifique.
À l'heure actuelle, tous les États membres disposent encore de leurs propres législations anti-blanchiment. Malgré cela, des directives harmonisées sur le blanchiment d'argent sont en passe de les remplacer. En fait, c'est à eIDAS que tous les Etats membres ont fait confiance pour introduire la signature qualifiée pour l'identification à distance. L'avenir harmonieux du KYC est déjà en vue ! Il comporte des signatures qualifiées eIDAS et différents niveaux d'eID nationaux.
En voyant ce qui se passe déjà dans toute l'UE, une chose est claire : QeS est l'avenir. C'est une solution 2 en 1 :
- Une méthode d'identification transfrontalière conforme qui prend en charge le CDD et les signatures électroniques de haute sécurité.
- Un moyen sûr et fiable pour les transactions et l'authentification forte.
4. La vidéo disparaîtra dans 2 ou 3 ans
La plupart des États membres de l'UE n'ont pas de législation spécifique à la technologie. Au lieu de cela, ils s'appuient sur l'alternative la plus proche des réunions physiques : la vidéoconférence. Et sans règles communes pour la procédure, le débat ne mène nulle part.
L'Allemagne en est un exemple. Son législateur financier, le Bafin, a sa propre vision de ce qui est acceptable pour l'identification à distance. De l'autre côté de la barrière se trouve la Bundesnetzagentur, un législateur spécialisé dans les réseaux/télécoms qui a un programme différent. Les deux législateurs ont le même objectif, mais ils utilisent des moyens différents pour l'atteindre. Cela n'a aucun sens, n'est-ce pas ?
Comme le montrent les tendances récentes, cela est sur le point de changer.
Une chose est sûre : la vidéo est un tueur de conversion. Elle est intrusive, prend du temps et est tout simplement dépassée. Les fournisseurs qui proposent des vidéoconférences synchrones sont confrontés à d'interminables problèmes et retards de programmation. Du côté de l'utilisateur, elle s'accompagne également de problèmes de connexion et d'instructions confuses qui varient d'un fournisseur à l'autre.
Il est grand temps que les États membres mettent en place des systèmes modernes d'identification à distance sur lesquels les législateurs peuvent compter. Le PVID français en est un excellent exemple. Il s'agit du premier système de certification (presque) commun lancé par un État membre. Il établit une norme claire sur laquelle les prestataires de services peuvent s'appuyer, créant ainsi des conditions de concurrence équitables et plaçant la barre haut en matière de sécurité et de cohérence.
5. Le contrôle manuel est l'avenir
Se détourner de l'identification vidéo ne signifie pas pour autant une automatisation totale. Voyons pourquoi cela ne fonctionnera pas.
L'année dernière, la Bundesnetzagentur a publié l'ordonnance sur l'identification automatique (dans le cadre de la disposition VDG sur les "méthodes innovantes"). Elle permettait de déterminer la présence physique et l'identité à l'aide d'une machine uniquement. Le hic, c'est que, pour satisfaire aux exigences statistiques, les prestataires de services ont besoin d'une quantité importante de données. Il s'agit d'une exigence difficile, ce qui signifie que très peu d'innovateurs peuvent proposer un processus entièrement automatisé. Un autre problème est qu'il ne traite pas les documents d'identité cryptographiques (compatibles RFID/NFC). Enfin, elle oblige les fournisseurs d'identification à stocker les données d'identification (15 secondes de flux en direct) "pour l'avenir". Cela ne correspond guère aux principes du GDPR tels que nous les connaissons.
Il est difficile de prendre la décision finale sur qui reçoit un certificat qualifié (et qui ne le reçoit pas). Il est également risqué de donner à la machine un contrôle total sur ces décisions. Par conséquent, les fournisseurs de services de confiance équilibrent sécurité et innovation en combinant les deux dans un processus convivial. Pour nous, cela se traduit par un contrôle manuel - une étape supplémentaire à la fin du processus d'enregistrement. Notre équipe confirme l'identité des utilisateurs en comparant le visuel de la caméra du téléphone à l'identification et aux autres informations recueillies tout au long du processus d'enregistrement.
La composante manuelle est également un élément incontournable du PVID.
C'est pourquoi l'utilisation d'un solide fournisseur de services de confiance est un excellent choix pour tout aspirant fournisseur de services financiers.