Entrée en relation à distance, l’application des règles AML5 & la certification PVID de l’ANSSI
01 / 09 / 2021
L’entrée en relation à distance est un service critique pour la commercialisation des services des entreprises Ce principe déjà initié par la transformation numérique de la société est d’autant plus important depuis le début de la crise sanitaire
L’impact réglementaire sur l’entrée en relation à distance
L’entrée en relation à distance est un service critique pour la commercialisation des services des entreprises. Ce principe déjà initié par la transformation numérique de la société est d’autant plus important depuis le début de la crise sanitaire.
Toutefois, cette entrée en relation des clients est particulièrement réglementée pour les établissements financiers, notamment par la 5ème directive Anti-Blanchiment (AML5) qui établit un certain nombre de mesures de vigilance comportant, entre autre, des obligations d’identification, de vérification de l’identité et de connaissance de la clientèle.
La dernière version de la directive AML impacte les sociétés du marché en faisant évoluer ces mesures de vérification d’identité. Ces nouvelles mesures pourront affecter l’expérience utilisateur et nécessiteront des modifications des parcours clients.
AML5 et PVID – Qu’est-ce que c’est ?
AML5 (5th EU Anti-Money Laundering Directive) est la 5ème version de la directive de l'Union Européenne visant à prévenir le blanchiment d'argent et le financement du terrorisme (LCB-FT en Français). Elle a été publiée au Journal officiel de l'Union Européenne le 19 juin 2018 et transposée dans le Code Monétaire et Financier Français en Février 2020.
Parmi les mesures de vérification d’identité possibles, le Code Monétaire et Financier Français cite explicitement la possibilité de recourir à un service certifié conforme par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel et qualifié au sens du règlement Européen eIDAS.
De fait, le 1er mars 2021, L'ANSSI a publié une première version applicable de son référentiel d'exigences sur les services de vérification d'identité à distance, alias référentiel PVID (Prestataires de Vérification d'Identité à Distance).
Ce référentiel définit donc les exigences permettant à l'ANSSI de certifier des Prestataires dont la mission est de s'assurer qu'une personne a bien l'identité qu'elle revendique dans le cadre de l'entrée en relation d'affaires à distance avec un fournisseur de services public ou privé.
Quelles sont les exigences de PVID ? Quels sont les impacts sur les parcours clients ?
Lors d’une entrée en relation à distance, l'objectif reste le même que lors d’une vérification d’identité physique en face à face :
- Vérifier l'authenticité du titre d’identité : l’ANSSI n’impose pas de prérequis technique, l’action peut se faire en visioconférence ou au travers d’une application mobile, etc.
- Vérifier que le visage de la personne correspond au visage du titre d'identité fourni.
Le processus s’effectuant à distance, il est nécessaire de vérifier que la personne est bien vivante et pas un robot programmé pour générer automatiquement une souscription frauduleuse : ce qu’on appelle communément la « Liveness Detection » ou preuve du vivant.
L’ANSSI définit deux grands principes pour les services de vérification d’identité à distance :
- Utilisation obligatoire d’un flux vidéo : Le service doit être dynamique, ce qui impose la vidéo pour la capture de l’image du titre d’identité et donc la « Liveness Detection ».
La vidéo apporte plus de garanties, elle permet le contrôle des sécurités visuelles des papiers d’identité (encres optiquement variables, hologrammes, etc.) et freine fortement la fraude documentaire.
- Service hybride entre traitements automatiques et humains : La vidéo sera analysée par des algorithmes automatiques pour tous les contrôles visuels : OCR et « aspect » et devra être couplée par un contrôle effectué par un opérateur humain certifié dans la pratique de vérification d’identité.
L’utilisation de la vidéo nécessitera de la part des prestataires de vérification d’identité à distance, de proposer une expérience utilisateur particulièrement ergonomique. Contrairement aux choix pris dans d’autres pays, l’ANSSI n’exige pas que la validation par un opérateur humain soit effectuée de manière synchrone : ce qui veut dire que l’opérateur n’a pas besoin d’être en communication avec l’utilisateur final ni disponible au même moment. L’utilisateur final peut donc s’identifier de manière autonome, quelle que soit l’heure. Ce choix permettra de rendre l’opération moins contraignante et moins coûteuse que dans d’autres pays Européens (ex : vérification synchrone en Allemagne).
Quand mettre en œuvre ces exigences ?
Au moment de la rédaction de cet article, le processus de certification des prestataires PVID est en cours et il n’existe encore aucun prestataire certifié. On peut raisonnablement penser que des prestataires seront certifiés fin 2021 ou au plus tard début 2022.
Il est important de noter que certains prestataires proposent déjà des solutions compatibles avec les exigences ANSSI, mais sans disposer de la certification. Worldline a déjà implémenté des workflows de ce type avec certains de ses partenaires techniques en cours de certification.
Qui est concerné ?
AML5 s'applique aux établissements financiers (crédit, moyens de paiement, monnaie électronique, investissement), ainsi qu'aux assureurs, conseils, notaires, avocats ou encore agents immobiliers en cas de dépassement d'un montant total de transactions de 10 000 euros.
La principale nouveauté par rapport aux directives précédentes est l'exigence pour les sociétés de change, les sociétés de crypto-monnaie ou les opérateurs de jeux de renforcer leurs mécanismes de vérification d'identité en ligne dans le cadre des processus d’intégration des clients.
Comment Worldline peut-il m’aider ?
La vérification d’identité par un service certifié PVID n’est pas la seule solution possible. Par exemple, pour un prospect bancarisé, la validation d’un paiement en ligne peut aussi constituer un facteur d’identification. Worldline est en mesure d’implémenter des parcours clients PVID mais aussi de proposer d’autres solutions techniques.
Par ailleurs l’entrée en relation peut comprendre d’autres exigences comme la signature électronique d’un contrat, l’établissement de Mandat de prélèvement, un paiement par carte ou par initiation de virement. Worldline est en mesure de vous accompagner sur les exigences réglementaires de la vérification d’identité mais aussi sur l’ensemble du processus de souscription.
Vous souhaitez obtenir plus d'informations sur ce sujet ? N'hésitez pas à regarder notre webinaire à la demande : https://www.brighttalk.com/webcast/18085/490674?utm_source=Worldline&utm_medium=brighttalk&utm_campaign=490674