Entrée en relation d’affaires à distance et PVID

L’entrée en relation d’affaires à distance s’est répandue dans un contexte de développement de l’économie numérique. Dans ce cadre, les organismes financiers (en particulier les banques et les fintech) s’appuient de plus en plus sur des technologies d’identification et de vérification de l’identité à distance. C’est dans ce cadre que s’inscrivent les prestataires de vérification d’identité à distance (PVID), qui permettent aux organismes assujettis à la réglementation sur le blanchiment de capitaux et de financement de terrorisme, de respecter leurs obligations de vérification de l’identité de leurs clients. Les services fournis par les PVID sont récents car le premier PVID a été certifié conforme par l’Agence nationale de la sécurité des systèmes d’information le 31 mars 2023.

1. Le développement de l’entrée en relation d’affaires à distance. L’entrée en relation d’affaires1 à distance s’est répandue avec le développement commercial des banques (en ligne ou traditionnelles), des fintech2 et dans un contexte global de numérisation de l’économie ; cette tendance a été exacerbée par les confinements imposés dans un contexte de pandémie3. En parallèle, au sein de l’Union européenne « chaque pays a développé son propre cadre national de vérification d’identité à distance, donnant ainsi naissance à un paysage de référentiels hétérogènes (…). Il peut résulter de ces exigences différentes en matière de vérification d’identité à distance une expérience client susceptible de créer des distorsions concurrentielles entre établissements selon l’origine géographique et la nature de l’agrément »4. Sur le plan réglementaire, depuis la 5e directive « anti–blanchiment », l’entrée en relation d’affaires à distance n’est plus considérée comme présentant un risque fort de blanchiment de capitaux5. Cette directive a autorisé les « banques françaises, tout comme leurs homologues des autres États membres, à mettre en œuvre de nouveaux outils de vérification d’identité à distance permettant de conserver un niveau élevé de sécurité tout en fluidifiant l’entrée en relation à distance et en supprimant les distorsions concurrentielles antérieures »6.

2. Les organismes assujettis à la réglementation relative à la lutte contre le blanchiment et le financement du terrorisme. L’article L. 561-2 du Code monétaire et financier liste les organismes assujettis à la réglementation LCB-FT, on y retrouve des établissements financiers, tels les établissements de crédit, les sociétés de financement, les entreprises d’investissement, les établissements de paiement, les établissements de monnaie électronique, les intermédiaires en financement participatif7, les prestataires de services sur actifs numériques, etc. Ces organismes sont donc tenus d’identifier8 et de vérifier9 l’identité de leurs clients (ainsi que celles de leurs représentants ou leurs bénéficiaires effectifs10).

3. L’obligation d’identification de la clientèle. L’article R. 561-5 du Code monétaire et financier liste les conditions d’identification des clients : « 1° Lorsque le client est une personne physique, par le recueil de ses nom et prénoms, ainsi que de ses date et lieu de naissance ; 2° Lorsque le client est une personne morale, par le recueil de sa forme juridique, de sa dénomination, de son numéro d’immatriculation, ainsi que de l’adresse de son siège social et celle du lieu de direction effective de l’activité, si celle-ci est différente de l’adresse du siège social (…) ». Les obligations d’identification des représentants (personnes agissant pour le compte du client) ou des bénéficiaires effectifs sont les mêmes que celles portant sur le client en relation d’affaires11.

4. L’obligation de vérification de l’identité. Les articles R. 561-5-1 et R. 561-5-2 du Code monétaire et financier listent les modalités de vérification de l’identité du client12. Un organisme qui appliquera l’article R. 561-5-1 du Code monétaire et financier devra mettre en œuvre une des mesures listées à cet article tandis qu’un organisme qui s’appuiera sur l’article R. 561-5-2 du code susmentionné devra mettre en œuvre deux mesures listées à cet article. Dans un contexte de digitalisation des interactions entre les organismes (en particulier les banques en ligne et traditionnelles ou les fintech), il est courant que ces mesures soient mises en œuvre à distance. L’Autorité de contrôle prudentiel et de résolution (ACPR) souligne que « ces mesures peuvent être mises en œuvre en présence du client ou à distance, sauf s’agissant de la présentation de l’original du document d’identité, qui implique la présence physique du client ou de la personne agissant pour son compte »13.

5. Les prestataires de vérification d’identité à distance (PVID). Les PVID s’inscrivent dans le cadre de la mise en œuvre de l’article R. 561-5-2 du Code monétaire et financier (service certifié conforme par l’Agence nationale de la sécurité des systèmes d’information, ou un organisme de certification que cette agence autorise, au niveau de garantie substantiel des exigences relatives à la preuve et à la vérification d’identité). Le service de vérification de l’identité à distance est un service « chargé de l’acquisition et la vérification les données d’identification des utilisateurs afin de les identifier, de la constitution du dossier de preuve et de la transmission du résultat de la vérification d’identité à distance au service métier »14. Ce service a vocation à permettre de vérifier que le titre d’identité présenté par l’utilisateur est authentique et que ce dernier en est le détenteur légitime. Autrement dit, ce service possède la même finalité qu’une vérification de l’identité en présentiel15. Un tel service peut être employé pour satisfaire au 5° de l’article R. 561-5-2 du Code monétaire et financier lorsqu’il est certifié conforme par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou un organisme de certification autorisé par cette dernière. Une fois certifié conforme, le PVID est enregistré sur une liste publique tenue par l’ANSSI16. Le premier PVID a été certifié le 31 mars 2023. Au 19 décembre 2023, il y avait 4 PVID certifiés et 6 candidats au statut de PVID. À noter que la durée de la certification PVID est limitée dans le temps17. Aussi, les organismes peuvent décider de réaliser un suivi de leur prestataire afin de s’assurer que ces derniers conservent leur certification PVID ou qu’ils les informent suffisamment en amont afin que les organismes puissent mettre en œuvre des mesures de remédiation (par exemple : contracter avec un autre PVID ou mettre en œuvre une autre mesure listée à l’article R. 561-5-2 du Code monétaire et financier) dans le but de respecter leurs propres obligations au titre de l’article L. 561-5 du Code monétaire et financier.