Depuis quelque temps, les solutions d’identification en ligne permettant l’identification des clients au moyen de la capture des images d’ID de leurs documents et de selfies à des fins de vérification et d’identification ne sont plus conformes aux règlementations relatives au blanchiment des capitaux et financement du terrorisme (AML, Anti-Money Laundering), particulièrement dans le secteur financier.
Nous détaillerons dans cet article les raisons pour lesquelles cette sorte de solutions en matière de vérification de l’utilisateur moyennant selfies et images d’ID ne sont pas conformes aux procédures KYC et règlementations AML, relatives à l’onboarding et l’authentification du client.
LES 3 NIVEAUX DE SÉCURITÉ EN MATIÈRE D’ENREGISTREMENT ET DE PREUVE DE L’IDENTITÉ EXIGÉS PAR KYC
Afin de comprendre pourquoi la vérification et l’authentification moyennant selfies de l’ID ne sont pas acceptées en tant solutions sécurisées en matière d’opérations à risque élevé, nous devons interpréter les trois niveaux de sécurité relatifs à l’enregistrement et la preuve de l’identité.
Compte tenu des multiples cas de fraude lors des procédures KYC/AML, le Département du Commerce des États Unis, par le biais du National Institute of Standards and Technology (NIST – Institut National des Normes et de la Technologie), a défini une référence en matière de vérification digitale de l’identité (NIST SP 800- 63A), qui établit trois niveaux de sécurité en matière d’enregistrement et de preuve de vérification de l’identité, classés de faible (IAL1), à intermédiaire (IAL2) et élevé (IAL3).
Le niveau élevé (IAL3) équivaut à une identification en personne et convient à la création de comptes en ligne/à distance. Ce niveau requiert l’intervention humaine et nécessite une transmission vidéo continue de haute résolution. Ainsi, la vérification moyennant selfie est interdite.
Les solutions envisageant les images d’ID et/ou selfies sont prises en compte par le niveau intermédiaire de sécurité (IAL2), sous réserve de les allier à d’autres preuves de haut niveau de l’identité de la personne, bien au-delà des images capturées du document d’identité et de l’enregistrement du visage de l’utilisateur. Ces autres preuves consistent habituellement en des factures, adresses ou contrôles des antécédents relatifs aux informations de l’identité de la personne.
Le deuxième niveau n’est pas sûr, ni efficient, ni fiable. Pour des raisons de confidentialité et de sécurité, ces méthodes ne sont pas permises au sein de l’Union Européenne, pour de nombreux motifs, quel que soit le niveau de risque. En outre, la difficulté de traitement des données personnelles, voire de nature publique, est un réel problème pour les entités qui doivent les traiter avec le consentement exprès des personnes concernées.
En conclusion, le niveau le plus faible (IAL1) ne requiert aucun recueil, aucune validation ni vérification de preuve, ou de recueil biométrique. Ceci signifie que l’IAL1 n’exige aucun lien entre l’utilisateur et une identité spécifique en temps réel, et que les attributs auto-affirmés ne sont ni validés ni vérifiés. En d’autres mots, l’IAL1 ne requiert aucune vérification des affirmations et attributs que l’utilisateur fournit au prestataire du service identifiant ; il est donc exclusivement approprié en matière d’opérations de très faible risque.
2 RAISONS QUI RENDENT LES IMAGES D’ID ET LES SELFIES NON CONFORMES À LA VÉRIFICATION DE L’IDENTITÉ ET AUX NORMES KYC
En premier lieu, leur faible niveau technique de sécurité, la faiblesse de la preuve électronique fournie lors de la procédure KYC (Know Your Customer), et la vérification très peu fiable réalisée par les solutions employant les selfies eu égard à leur manque d’intégrité, ne permettent pas à ces sortes de solutions de satisfaire les prérequis exigés par la législation et réglementations diverses.
En deuxième lieu, le niveau de sécurité fourni lors de l’identification et vérification de l’ID au moyen des solutions KYC employant les selfies est insuffisant, à des lieues des standards requis en matière d’identification formelle des clients, conformément aux règlementations les plus exigeantes en la matière. Ainsi, les procédures KYC/AML nécessitent des prérequis plus techniques que les solutions employant les selfies.
N’hésitez pas à télécharger ce guide si vous souhaitez savoir quelles solutions sont conformes à KYC/AML.
AML ET eIDAS EXCLUENT L’IDENTIFICATION SELFIE KYC EN TANT QUE SOLUTION AUX EFFETS D’UNE VÉRIFICATION CONVAINCANTE DE L’IDENTITÉ
Tel qu’indiqué au préalable, les procédures d’identification non présentielles en Europe permettent l’utilisation de solutions d’identification moyennant selfie en matière de KYC, particulièrement dans les industries extrêmement règlementées. Les industries sont régies par les règlementations AML et eIDAS.
La Directive AML5 et la Règlementation eIDAS relatives aux services de confiance établissent le cadre règlementaire des procédures KYC/AML en Europe. La première se fonde sur le cadre de sécurité de l’eIDAS en matière d’identification des clients à distance.
La combinaison des deux créé un cadre règlementaire unique qui censure les selfies et permet l’utilisation de solutions d’identification vidéo lors des procédures impliquant une nouvelle souscription de services et ouverture de comptes, solutions pleinement sécurisées et en ligne, homogénéisant ainsi le Marché Européen Numérique Unique.
Cependant, même avant l’entrée en vigueur de l’AML5 et de l’eIDAS, de nombreux états membres de l’Union Européenne avaient d’ores-et-déjà réglementé les autorisations d’identification non présentielles grâce la technologie du streaming vidéo.
À cet égard, la Commission Européenne a travaillé pendant plus de douze ans afin de qualifier des solutions adéquates qui soient conformes à l’eIDAS et satisfassent les niveaux appropriés de sécurité en matière d’identification électronique et eSignature.
En même temps, l’eIDAS établit également différents niveaux de sécurité (de faible à substantiel et élevé) en matière d’identification électronique et de signature électronique, similaires à ceux employés par le NIST.
De même, il dépend des organismes locaux de normalisation et du Conformity Assessment Body (CAB – Organisme d’Évaluation de la Conformité). Les CABs effectuent un audit et délivrent un rapport de Conformity Assessment (Évaluation de Conformité – CAR) afin de garantir que la solution d’identification vidéo est valable. Par exemple, supposez que vous souhaitez avoir recours à une solution KYC/AML. Dans cette éventualité, vous devez requérir un CAR du fournisseur logiciel afin de confirmer que votre solution est auditée, certifiée, et conforme eIDAS/AML.
En outre, certains pays tels que l’Allemagne, ont développé des directrices additionnelles. Par exemple, la première Directrice Technique dénommée TR-03147. Ce Guide Technique Allemand établit des mesures de sécurité lors de l’identification à distance des clients, exclusivement moyennant vidéo et documents d’identité.
DE QUELLE MANIÈRE ÉVITER LA VÉRIFICATION MOYENNANT SELFIE EN MATIÈRE DE KYC ET IMPLÉMENTER UNE SOLUTION D’IDENTIFICATION VIDÉO SÉCURISÉE ?
Le streaming vidéo devient la norme en matière d’identification en ligne des clients en raison de sa sécurité, UX sans défaut et automatisation digitale. En conséquence, nous nous trouvons face à deux sortes de solutions :
- Solutions synchrones : elles réalisent l’identification moyennant vidéo conférence dirigéepar un agent qui supervise l’interview en ligne du client, la vérification de l’identité et les contrôles de documentation.
- Solutions asynchrones : la procédure d’identification est réalisée, dans son intégralité, moyennant enregistrement vidéo en streaming, automatique pour l’utilisateur et la société, qui garantit la gestion et l’intégrité de la procédure d’enregistrement vidéo par la personne y étant contrainte et la vérification hors ligne ultérieure par un agent qualifié.
Les deux solutions peuvent se combiner en fonction de la finalité de leur usage. Normalement, la vidéo conférence (synchrone) s’utilise en matière de vente consultative lorsqu’un nouveau client est acquis. Par ailleurs, la vidéo asynchrone (identification vidéo) est plus habituelle lors de procédures d’acquisition de clients requérant une certaine souplesse, ainsi qu’une expérience rapide et fluide, et est tout aussi sûre que l’identification en personne (soit la procédure d’ouverture de compte bancaire en ligne). VideoID est l’exemple d’une solution simple et sûre.
VideoID permet également la délivrance d’un Certificat Électronique Qualifié. L’utilisateur et la société peuvent ainsi effectuer des procédures à risque élevé en ligne, allant de la signature d’un prêt immobilier à l’ouverture d’un compte bancaire, pourvus du même niveau de force exécutoire juridique que celle de la signature à la main.
Découvrez le seul onboarding digital juridiquement contraignant et valide afin d’opérer en Europe en toute conformité et sécurité exhaustive.