Walid Cheriaa

Walid Cheriaa

Responsable de l’offre Conformité, risques et contrôle interne pour les services financiers - CGI Business Consulting

Pour les banques et les assurances, le KYC (« Know Your Customer ») est un axe important de réponse aux réglementations qui visent à détecter les opérations frauduleuses et les activités de blanchiment d’argent et de financement du terrorisme (LCB-FT).

Pour y répondre, les acteurs financiers doivent collecter de nombreuses informations auprès de leurs clients pour s’assurer que leur identité légale est valide. Ces processus ont de multiples impacts, tant en termes d’organisation que de coût et d’expérience client. Walid Cheriaa, responsable de l’offre Conformité, risques et contrôle interne chez CGI Business Consulting, revient sur les grands enjeux du KYC pour les acteurs bancaires et assurantiels.

Quels sont les grands enjeux du KYC pour les acteurs financiers ?

Aujourd’hui, il y a certes un enjeu de conformité, mais pas uniquement. Les processus induits par le KYC ne doivent pas contrarier l’expérience client. Le process KYC doit se fondre dans le parcours client, en termes de fluidité et de temporalité. Et tous ces processus doivent être réalisés à coûts maîtrisés. L’explosion du coût du KYC, notamment pour les banques, est un vrai sujet. 

Il ne faut pas oublier que le KYC est initialement une arme pour lutter contre le blanchiment et le terrorisme (LCB-FT). Mais il est devenu, depuis quelques années, un enjeu à part entière, qui ne se résume plus à la contrainte règlementaire. Il y représente désormais un véritable levier de transparence et de confiance avec le client, notamment côté assurance. Le KYC doit être expliqué au client et peut permettre de renforcer la relation client.

Quelles sont les différences majeures entre banques et assurances en matière de KYC ?

Ce sont les mêmes obligations règlementaires. Mais la réalité est plus nuancée, car il y a un facteur différenciant : le métier. Le KYC a dû s’adapter aux spécificités de tous les métiers de l’assurance : assurance vie, IARD, assurance santé /prévoyance, collectives...). Les spécificités de chaque métier nécessitent d’avoir un échange plus soutenu et le facteur confiance rend l’application du dispositif complexe. Pour l’illustrer, je pense à un grand assureur français qui, pour ne pas citer le mot « conformité », parlait de « processus vertueux et conformes » !

Si l’on exclut les activités de finance de marché, et la gestion patrimoniale complexe, la mise en œuvre du KYC sur des produits bancaires classiques est aujourd’hui maîtrisée. Lors de l’entrée en relation avec le client, l’accès aux relevés de compte et la visualisation des flux financiers donnent des indicateurs fiables d’exposition à certains risques. Dans l’assurance, les produits sont plus complexes, avec la connaissance client plus faible. Et les assureurs n’exploitent pas le potentiel de DSP2[1], qui leur permettrait d’accéder à des informations leur permettant d’accélérer leur processus KYC.

Les systèmes d’information (SI) et les interfaces de programmation d’application (API) des assureurs sont en retard par rapport à ceux des banques. Est-ce que la directive DSP2 ne représente pas, aussi, un facteur de risque et un investissement trop important pour eux ?

Oui, et ils en sont conscients. Les risques de fraude en assurance sont élevés. Les opérations frauduleuses y sont assez élaborées et les assureurs ne sont pas toujours les plus armés. Ces organisations se sont construites en agrégeant des activités d’agents indépendants et de courtiers. Elles ont hérité d’un legacy si ancien qu’elles n’ont jamais cessé de le mettre à jour. Adopter une nouvelle règlementation, même si elle était très bénéfique, n’est pas simple à mettre en place. À l’inverse, les banques, depuis les scandales de 2008, ont accéléré la rationalisation et la centralisation de leurs systèmes d’informations. Elles ont donc plus de facilité à mettre en place de nouvelles règles.

Abordons la question des coûts : comment automatiser et rendre le KYC plus efficient ?

Pour répondre à cette question, il faut imaginer le KYC demain. Il pourra évoluer dans deux directions et potentiellement dans les deux en même temps. D’un côté, les acteurs financiers vont opérer un changement profond de structure de leur système d’information. Il est plus facile de gérer un seul SI à l’échelle d’un groupe, quitte à l’adapter aux spécificités métiers, que d’additionner plusieurs systèmes. Cette centralisation facilitera l’intégration des nouvelles technologies : RPA (Robotic process automation), intelligence artificielle, deep learning, machine learning, blockchain… Ces technologies simplifieront la mise en place du KYC, notamment grâce à la garantie de l’identité unique et à l’automatisation.

D’un autre côté, le KYC commence à être externalisé et pris en charge par des acteurs spécialisés. C’est la création d’un « KYC-as-a-Service », qui limite les coûts exorbitants imputés aux banques. Entre ces deux options, il y en a une troisième : la centralisation du KYC. Le secteur public commence à s’y intéresser. Pour preuve, l’État a déjà agrégé 5 grands services publics sous l’égide de France Connect pour garantir l’identité. C’est une vraie révolution : pour la première fois, on prend le sujet en main pour garantir des connexions fluides entre plusieurs services, avec l’État comme tiers de confiance. Ce principe pourrait être transposé au KYC.

Est-ce une bonne nouvelle pour les banques et les assurances ? Ne profitent-elles pas, pour le moment, du KYC afin de récolter des données qui leur permettent d’améliorer leur connaissance client ?

En effet, au travers du KYC, la connaissance client peut aller bien au-delà des problématiques LCB-FT. Les acteurs financiers se sont d’abord dit que ces informations leur permettraient de personnaliser l’expérience et les propositions produits. Mais le socle de conformité étant le même pour tous, l’idée que le KYC est différenciant est un mirage qui voile la réflexion sur les bénéfices d’une mutualisation.

Et cette ambition de transformer la contrainte KYC en opportunité a été mis à mal par l’arrivée du RGPD[2]. Il y a aussi une guerre totalement déloyale avec les GAFAM, qui souhaitent proposer des services financiers. Là où les acteurs traditionnels sont contraints par un cadre réglementaire strict, les –GAFAM exploiteraient la manne de données personnelles dont ils disposent, au risque de tuer les assureurs en matière de connaissance client.

Que vous inspire un KYC ultra-décentralisé ?

Des services comme Digiposte proposent déjà de vrais coffres forts numériques, garantis par un tiers de confiance. In fine, le client pourrait devenir son propre coffre-fort numérique, et choisir de l’ouvrir à l’acteur de son choix avec un accès limité à certains types de données. Un coffre-fort garanti par l’État et hautement sécurisé. Des tentatives sont d’ailleurs en cours, même si d’autres pistes comme la blockchain apportent une nouvelle variable à cette équation…

Cela n’a pas de sens économique d’avoir un KYC ultra-décentralisé en l’état : la logique économique voudrait qu’il soit centralisé. Mais il y a en effet une autre possibilité : le KYC décentralisé au niveau de l’individu. L’outil, c’est le smartphone, qui devient le coffre-fort numérique. Un élément d’une blockchain, porteur de tous les éléments KYC nécessaires pour les services financiers. Et cela serait cohérent avec les usages des jeunes générations. Dans la logique d’hyperdécentralisation, on peut même imaginer que l’institution financière envoie une demande, et que le coffre-fort numérique lui renvoie un scoring suffisant aux exigences de conformité au KYC, sans aucune transmission de données.

Qui serait en charge de ce coffre-fort ? L’État ou les GAFAM ?

L’enjeu est là : est-ce que c’est Digiposte ou Apple ? On peut imaginer un coffre-fort numérique composé de différentes « couches » d’information – certaines données destinées aux banquiers, d’autres aux assureurs, etc. Le consommateur pourrait gérer lui-même les autorisations d’accès en fonction de ses besoins et usages. Si les acteurs traditionnels n’investissent pas ce sujet maintenant, les GAFAM le feront et avanceront tellement vite que plus personne ne voudra investir massivement alors qu’une solution gratuite sera disponible sur le marché…

Téléchargez l'infographie


[1] Directive européenne sur les services de paiement, entrée en vigueur le 13 janvier 2018

[2] Règlement général sur la protection des données, entré en vigueur le 13 mai 2018

A PROPOS DE L'EXPERT

Walid Cheriaa

Walid Cheriaa

Responsable de l’offre Conformité, risques et contrôle interne pour les services financiers - CGI Business Consulting

Walid est responsable de l’offre Conformité, risques et contrôle interne pour les services financiers au sein de CGI Business Consulting. Il accompagne les institutions financières, les banques et compagnies d’assurances sur les sujets de mise en œuvre réglementaire, de KYC, de prévention de la fraude ...