Entrée en relation d’affaires à distance et PVID

Publié le 25/04/2024
Entrée en relation d’affaires à distance et PVID
Bits and Splits/AdobeStock

L’entrée en relation d’affaires à distance s’est répandue dans un contexte de développement de l’économie numérique. Dans ce cadre, les organismes financiers (en particulier les banques et les fintech) s’appuient de plus en plus sur des technologies d’identification et de vérification de l’identité à distance. C’est dans ce cadre que s’inscrivent les prestataires de vérification d’identité à distance (PVID), qui permettent aux organismes assujettis à la réglementation sur le blanchiment de capitaux et de financement de terrorisme, de respecter leurs obligations de vérification de l’identité de leurs clients. Les services fournis par les PVID sont récents car le premier PVID a été certifié conforme par l’Agence nationale de la sécurité des systèmes d’information le 31 mars 2023.

1. Le développement de lentrée en relation daffaires à distance. L’entrée en relation d’affaires1 à distance s’est répandue avec le développement commercial des banques (en ligne ou traditionnelles), des fintech2 et dans un contexte global de numérisation de l’économie ; cette tendance a été exacerbée par les confinements imposés dans un contexte de pandémie3. En parallèle, au sein de l’Union européenne « chaque pays a développé son propre cadre national de vérification d’identité à distance, donnant ainsi naissance à un paysage de référentiels hétérogènes (…). Il peut résulter de ces exigences différentes en matière de vérification d’identité à distance une expérience client susceptible de créer des distorsions concurrentielles entre établissements selon l’origine géographique et la nature de l’agrément »4. Sur le plan réglementaire, depuis la 5e directive « antiblanchiment », l’entrée en relation d’affaires à distance n’est plus considérée comme présentant un risque fort de blanchiment de capitaux5. Cette directive a autorisé les « banques françaises, tout comme leurs homologues des autres États membres, à mettre en œuvre de nouveaux outils de vérification d’identité à distance permettant de conserver un niveau élevé de sécurité tout en fluidifiant l’entrée en relation à distance et en supprimant les distorsions concurrentielles antérieures »6.

2. Les organismes assujettis à la réglementation relative à la lutte contre le blanchiment et le financement du terrorisme. L’article L. 561-2 du Code monétaire et financier liste les organismes assujettis à la réglementation LCB-FT, on y retrouve des établissements financiers, tels les établissements de crédit, les sociétés de financement, les entreprises d’investissement, les établissements de paiement, les établissements de monnaie électronique, les intermédiaires en financement participatif7, les prestataires de services sur actifs numériques, etc. Ces organismes sont donc tenus d’identifier8 et de vérifier9 l’identité de leurs clients (ainsi que celles de leurs représentants ou leurs bénéficiaires effectifs10).

3. Lobligation didentification de la clientèle. L’article R. 561-5 du Code monétaire et financier liste les conditions d’identification des clients : « 1° Lorsque le client est une personne physique, par le recueil de ses nom et prénoms, ainsi que de ses date et lieu de naissance ; 2° Lorsque le client est une personne morale, par le recueil de sa forme juridique, de sa dénomination, de son numéro d’immatriculation, ainsi que de l’adresse de son siège social et celle du lieu de direction effective de l’activité, si celle-ci est différente de l’adresse du siège social (…) ». Les obligations d’identification des représentants (personnes agissant pour le compte du client) ou des bénéficiaires effectifs sont les mêmes que celles portant sur le client en relation d’affaires11.

4. Lobligation de vérification de lidentité. Les articles R. 561-5-1 et R. 561-5-2 du Code monétaire et financier listent les modalités de vérification de l’identité du client12. Un organisme qui appliquera l’article R. 561-5-1 du Code monétaire et financier devra mettre en œuvre une des mesures listées à cet article tandis qu’un organisme qui s’appuiera sur l’article R. 561-5-2 du code susmentionné devra mettre en œuvre deux mesures listées à cet article. Dans un contexte de digitalisation des interactions entre les organismes (en particulier les banques en ligne et traditionnelles ou les fintech), il est courant que ces mesures soient mises en œuvre à distance. L’Autorité de contrôle prudentiel et de résolution (ACPR) souligne que « ces mesures peuvent être mises en œuvre en présence du client ou à distance, sauf s’agissant de la présentation de l’original du document d’identité, qui implique la présence physique du client ou de la personne agissant pour son compte »13.

5. Les prestataires de vérification d’identité à distance (PVID). Les PVID s’inscrivent dans le cadre de la mise en œuvre de l’article R. 561-5-2 du Code monétaire et financier (service certifié conforme par l’Agence nationale de la sécurité des systèmes d’information, ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences relatives à la preuve et à la vérification d’identité). Le service de vérification de l’identité à distance est un service « chargé de l’acquisition et la vérification les données d’identification des utilisateurs afin de les identifier, de la constitution du dossier de preuve et de la transmission du résultat de la vérification d’identité à distance au service métier »14. Ce service a vocation à permettre de vérifier que le titre d’identité présenté par l’utilisateur est authentique et que ce dernier en est le détenteur légitime. Autrement dit, ce service possède la même finalité qu’une vérification de l’identité en présentiel15. Un tel service peut être employé pour satisfaire au 5° de l’article R. 561-5-2 du Code monétaire et financier lorsqu’il est certifié conforme par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou un organisme de certification autorisé par cette dernière. Une fois certifié conforme, le PVID est enregistré sur une liste publique tenue par l’ANSSI16. Le premier PVID a été certifié le 31 mars 2023. Au 19 décembre 2023, il y avait 4 PVID certifiés et 6 candidats au statut de PVID. À noter que la durée de la certification PVID est limitée dans le temps17. Aussi, les organismes peuvent décider de réaliser un suivi de leur prestataire afin de s’assurer que ces derniers conservent leur certification PVID ou qu’ils les informent suffisamment en amont afin que les organismes puissent mettre en œuvre des mesures de remédiation (par exemple : contracter avec un autre PVID ou mettre en œuvre une autre mesure listée à l’article R. 561-5-2 du Code monétaire et financier) dans le but de respecter leurs propres obligations au titre de l’article L. 561-5 du Code monétaire et financier.

Schéma : principes de la vérification d’identité à distance

ANSSI-BSI – Joint release, 2023

Notes de bas de pages

  • 1.
    L’article L. 561-2-1 du Code monétaire et financier dispose : « La notion de relation d’affaires s’entend de la relation professionnelle ou commerciale avec le client, et inclut le cas échéant le bénéficiaire effectif […]. Une relation d’affaires est nouée lorsqu’une personne mentionnée à l’article L. 561-2 engage une relation professionnelle ou commerciale qui est censée, au moment où le contact est établi, s’inscrire dans une certaine durée. La relation d’affaires peut être prévue par un contrat selon lequel plusieurs opérations successives seront réalisées entre les cocontractants ou qui crée à ceux-ci des obligations continues. Une relation d’affaires est également nouée lorsqu’en l’absence d’un tel contrat un client bénéficie de manière régulière de l’intervention d’une personne susmentionnée pour la réalisation de plusieurs opérations ou d’une opération présentant un caractère continu ».
  • 2.
    ACPR, Forum Fintech ACPR-AMF : un nouveau groupe de travail pour étudier le cadre réglementaire de l’entrée en relation à distance », mai 2019, Revue de l’ACPR. Article disponible à l’adresse suivante : https://lext.so/W5At4F.
  • 3.
    EBA, Draft Guidelines on the use of Remote Customer Onboarding Solutions under Article 13(1) of Directive (EU) 2015/849, Consultation Paper, EBA/CP/2021/10, 10 December 2021, § 3, p. 6. « There has been a significant increase in the demanding of digital tools from financial sector operators to onboard their customers remotely. This trend was exacerbated by restrictions on movement in the context of the COVID-19 pandemic, which highlighted the importance of institutions having at their disposal reliable and effective means to support remote business customer onboarding and wider remote CDD (Customer Due Diligence) checks ».
  • 4.
    Sur l’utilisation du terme néobanque : ACPR, Rappel des règles d’usage du terme « néobanque », avr. 2021, Revue de l’ACPR. Article disponible à l’adresse suivante : https://lext.so/7d6Nyj. V. également A. Aranda Vasquez, « Précisions sur l’utilisation du terme “néobanque” », LPA 5 mai 2021, n° LPA200i7.
  • 5.
    ACPR, AMF, Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) et mesures restrictives. Quelles réglementations pour quels enjeux ?, Forum Fintech 2020. Article disponible à l’adresse suivante : https://lext.so/0U5TAN.
  • 6.
    ACPR, « Des néobanques en quête de rentabilité », Analyses et synthèses 2020, n° 113-2020. Étude disponible à l’adresse suivante : https://lext.so/wXd-84.
  • 7.
    Les prestataires de services de financement participatif visés à l’article L. 547-1 du Code monétaire et financier ne sont pas soumis à la réglementation LCB-FT en l’état du droit positif.
  • 8.
    C. mon. fin., art. L. 561-5, I, 1°.
  • 9.
    C. mon. fin., art. L. 561-5, I, 2°.
  • 10.
    ACPR, Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle, 16 déc. 2021, § 25. L’ACPR souligne qu’avant d’entrer en relation d’affaires, les organismes assujettis mettent en œuvre des mesures qui portent sur « l’identification et la vérification de l’identité du client (et le cas échéant, de son représentant) et, le cas échéant, du bénéficiaire effectif ; et pour les contrats d’assurance sur la vie ou de capitalisation, le bénéficiaire du contrat et, le cas échéant, son bénéficiaire effectif ; ainsi que la connaissance de l’objet et de la nature de la relation d’affaires et le recueil de tout autre élément d’information pertinent ». Disponible à l’adresse suivante : https://lext.so/CibotH.
  • 11.
    ACPR, Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle, 16 déc. 2021, § 51 pour les personnes agissant pour le compte du client et § 100 pour les bénéficiaires effectifs.
  • 12.
    ACPR, Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle, 16 déc. 2021, § 52 pour les personnes agissant pour le compte du client et § 100 et suivants pour les bénéficiaires effectifs.
  • 13.
    ACPR, Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle, 16 déc. 2021, § 33.
  • 14.
    ANSSI, Prestataires de vérification d’identité à distance. Référentiel d’exigences, version 1.1, 1er mars 2021. Référentiel disponible à l’adresse suivante : https://lext.so/4S9pkE.
  • 15.
    ANSSI, Publication du référentiel d’exigences applicables aux prestataires de vérification d’identité à distance (PVID), 1er mars 2021. Article disponible à l’adresse suivante : https://lext.so/4YnqLm.
  • 16.
    La liste est disponible à l’adresse suivante : https://lext.so/3wtlWN.
  • 17.
    V. Arrêté du 28 mars 2021, relatif à la certification de conformité des services d’entrée en relation d’affaires à distance, en particulier l’article 10.
Plan
X