Vers un parcours eKYC français plus accessible ?
LES FAITS
- Le décret du 2 avril 2021 modifie de façon notoire la règlementation applicable aux Prestataires de Services d’Actifs Numériques (PSAN), agrées ou enregistrés, ainsi qu'aux émetteurs de jetons avec visa AMF.
- Dorénavant, ils seront soumis par le Code Monétaire et Financier à un KYC systématique à chaque transaction, quels que soient son montant et sa nature (crypto-fiat ou crypto-crypto).
- Ce même décret modifie également le cadre règlementaire applicable à tous les acteurs pour la gestion du risque de Lutte Contre Le Blanchiment et le Financement du Terrorisme (LCB/FT), PSP ou PSAN.
- L’équivalence au face-à-face pour la vigilance simple est dorénavant rendue possible pour le eKYC par le recours à tout moyen eIDAS certifié ou attesté par l’ANSSI, pas nécessairement notifié par la France (et donc pas obligatoirement raccordé à FranceConnect).
- Cette nouvelle formulation de décret conserve l’interopérabilité avec l’option de recourir à un moyen d'identification électronique délivré dans le cadre d'un schéma notifié à la Commission européenne par un Etat membre de l'UE et dont le niveau de garantie correspond au niveau soit substantiel soit élevé.
ENJEUX
- Lutter contre l’anonymat des transactions liées aux crypto-actifs dès le premier euro. A contrario des transactions de paiement en monnaie fiat, l’authentification forte (de facto via l’usage d’un moyen eIDAS substantiel) sera donc couplée à chaque transaction avec une vérification des données de l’identité pivot et au transfert de ces dernières au PSAN et aux émetteurs de jeton avec visa AMF.
- Faciliter la mise en œuvre de l’identification à distance eKYC avec un seul moyen (eIDAS qualifié dès le niveau substantiel), a fortiori dans le contexte de pandémie. Ce nouveau décret le permet sans attendre la notification européenne du schéma d’identification électronique français de FranceConnect+ associée au moyen d’identité numérique de la Poste (prévue pour mi-juillet).
- Permettre le recours à tout moyen eIDAS qualifié par l’ANSSI dès le niveau substantiel, en libre concurrence et au libre choix de l’utilisateur. Dès le mois de mai, la plateforme sécurisée FranceConnect+ devrait être déployée dans ce sens. Pour l’heure, un seul moyen eIDAS a été qualifié par l’ANSSI et sera donc connecté à FranceConnect+ : celui de la Poste avec un enrôlement qui recourt à une étape de vérification d’identité en face-à-face.
- Ne pas attendre la qualification de Prestataires de Vérification d’Identité à Distance (PVID) par l’ANSSI suite à l’émission de son nouveau référentiel, ni l’arrêté requis par le CMF pour permettre un parcours d’identification à distance facilité.
MISE EN PERSPECTIVE
- Les exigences du Code Monétaire et Financier pour la vérification d’identité avaient déjà été ajustées il y a un an, avec le décret du 12 février 2020 pour :
- supprimer l’exigence du justificatif de domicile,
- abaisser l’exigence du niveau élevé notifié à substantiel notifié pour le moyen eIDAS équivalent au face-à-face,
- permettre le recours à un recommandé électronique qualifié au même titre qu’une signature comme l’une des deux mesures pour la vigilance renforcée.
- Ce décret de 2020 avait également prévu le recours à un PVID qualifié au niveau substantiel comme l’une des mesures. Le référentiel PVID est bien publié par l’ANSSI, mais l’arrêté conjoint du Premier ministre et du ministre chargé de l'économie pour en officialiser le cadre juridique se fait encore attendre.
- Ces ajustements de 2020 et 2021 étaient nécessaires et sont en adéquation avec les préconisations du GAFI FAFT de mesures proportionnées au risque, sans exiger le niveau toujours le plus élevé et sans verrouiller le recours à de solutions d’identité numériques fournies ou validées par les Etats.
- En parallèle de ces modifications fort utiles du Code Monétaire et Financier, la France continue d’emprunter des chemins complexes vers l’identité numérique V3.0. Le gouvernement doit toujours publier au JOF la dernière version du référentiel de qualification de moyen eIDAS. Ce dernier n’est toujours pas disponible officiellement sur le site en ligne de l’ANSSI alors qu’une première version V0.4 avait été soumise à consultation aux experts dès 2016 et que les versions suivantes ont pu faire l’objet de revues multiples entre différents acteurs institutionnels (ANTS, Ministère de l’Intérieur, CNIL…). Nonobstant, La Poste avait pu réussir à obtenir sa qualification au niveau substantiel en janvier 2020 pour son identité numérique, lui permettant d’offrir des services innovants par exemple pour la signature électronique. Ce référentiel pour la qualification de moyens eIDAS de l’ANSSI a ensuite été bloqué et les qualifications en cours mises en attente en raison du nouveau référentiel PVID, mais maintenant publié. Espérons que la situation puisse se débloquer rapidement sans attendre le déblocage politique et/ou juridique de la eCNI V 3.0, qui « n’est pas le seule sesame de l’identité numérique en France »…
- Outre le cadre juridique, l’enjeu du business model est primordial pour permettre à des acteurs de se positionner en tant que fournisseur d’identité et s’investir pour la qualification de moyens eIDAS appropriés ; mais aussi pour permettre aux fournisseurs de services d’avoir accès à une offre concurrentielle quelle que soit leur taille (acteurs bancaires de place, nouveaux PSP, PSAN …). Alors qu’à l’étranger (par exemple en Italie avec SPID ou en Belgique avec Itsme), le business model avec responsabilité juridique associée est parfaitement établi au sein de l’écosystème fournisseur d’identité et/ou de service, publics ou privés, FranceConnect ne peut toujours pas assurer ce rôle de chambre de compensation. Pour FranceConnect+, la relation contractuelle doit s’établir directement entre le fournisseur d’identité privé et le fournisseur de service privé, ce qui rend par ailleurs l’interopérabilité du nœud FranceConnect+ avec d’autres acteurs privés européens irrémédiablement inopérante.