Les entreprises du secteur de l’assurance et des finances ont l’obligation de mettre en œuvre la procédure KYC. Et gare aux contrevenants ! Une législation stricte porte sur la connaissance client et, en cas de manquement, de lourdes sanctions sont prévues.
De l’idée à l’action, le dispositif Know Your Customer demande une extrême rigueur. Cadre juridique de la procédure KYC : tout ce que vous devriez connaître.
Pourquoi le KYC ?
Le KYC est l’acronyme anglais de « Know Your Customer », soit littéralement « connaître son client ». Il s’agit de se protéger des risques de malversations financières à travers les données du client.
Ce fléau n’est ni récent ni isolé. L’idée de définir un processus KYC est née aux États-Unis dès les années 1950. L’Europe s’est saisie du problème dans les années 1990, jusqu’à imposer légalement les mesures KYC comme nous les connaissons aujourd’hui.
En France, le KYC s’intègre pleinement dans la lutte contre le blanchiment d’argent et le financement du terrorisme, dite loi lcb-ft.
Qui doit appliquer la procédure KYC ?
Tous les professionnels sans exception doivent déployer un dispositif en interne pour connaître leurs clients. Ce sont donc tous les secteurs d’activité qui sont concernés.
La directive européenne prévoit une vigilance renforcée pour le secteur financier. Cela s’explique par le fait que les établissements bancaires, les assurances et les mutuelles sont directement concernés par les mouvements financiers, et donc une cible privilégiée pour le blanchiment de capitaux, le détournement d’argent et autres risques en matière de fraude.
Quelles sont les mesures KYC prévues par la loi ?
Les professionnels ont toute latitude pour mettre en place leur propre protocole KYC dans leur entreprise. Le cadre juridique définit toutefois les obligations à remplir.
Know Your Consumer consiste à avoir la certitude que son client est bien celui qu’il prétend être et que ses intentions sont honnêtes.
Le processus KYC impose aux banques, assurances et mutuelles de vérifier l’identité de leurs clients. Cette opération s’effectue notamment grâce aux données personnelles qui doivent être recueillies, avec le consentement du client, traitées, analysées, stockées et régulièrement actualisées.
Les déclarations de soupçons, opérations suspectes ou illicites, une utilisation du système à des fins illégales…, doivent être remontées. La banque, l’assureur ou la mutuelle peut aussi être amené à prendre diverses mesures préventives ou des sanctions, comme le gel des avoirs, par exemple.
Ce dispositif de surveillance induit que les services bancaires, les conseillers mutualistes et les agents d’assurances soient sensibilisés et formés au KYC. Pour remplir leurs obligations de vigilance face à la criminalité financière, le devoir de conseil et d’information auquel sont soumis les assureurs, les mutualistes et les banquiers est une opportunité pour connaître son client, au sens KYC.
L’entreprise doit se doter a minima d’un moyen fiable et sûr pour transmettre, archiver et protéger les pièces justificatives à produire en cas de suspicion.
Les informations recueillies doivent être régulièrement contrôlées et mises à jour si nécessaire.
Une veille permanente doit être faite quant aux dispositions prévues par la Directive du Parlement européen, car la législation évolue régulièrement, pour contrer toute nouvelle fraude et tentative de fraude, toujours plus élaborées. Notamment, un chantier est à l’étude pour transformer l’eIDAS en European Digital Identity Wallet.
Quelles sanctions en cas de non-application du KYC ?
L’application du KYC est une obligation légale. En France, plusieurs organismes peuvent contrôler ses modalités d’application dans les entreprises : l’AMF (Autorité des marchés financiers), l’ACPR (Autorité de contrôle prudentiel et de résolution) et la CNIL (Commission nationale informatique et libertés).
Diverses sanctions sont encourues en cas de non-respect du KYC ou de procédures trop peu étoffées : blâmes, avertissements et lourdes amendes, pouvant aller jusqu’à plusieurs millions d’euros.
Sans parler de la mauvaise presse auprès des clients lorsque la condamnation est rendue publique.
Comment concilier KYC et RGPD ?
Le KYC repose sur les données personnelles du client. Un autre dispositif les concerne : le RGPD ou Règlement Général de la Protection des Données. L’assureur, le mutualiste et le banquier doivent composer avec cet entrelacs juridique.
Le KYC commence donc par le recueil du consentement des clients pour la collecte des données personnelles, les modalités de leur traitement, qui peut être à des fins de gestion, à des fins commerciales ou les deux, et leur conservation.
Sans consentement, ces données ne peuvent être exploitées. Les opérations de souscription de contrat, de virements d’argent, de retraits bancaires et les indemnisations peuvent s’en trouver bloquées.
Comment le digital sert-il le KYC pour les assurances et les mutuelles ?
Les secteurs des assurances, de la mutualité et de la banque sont très concernés par l’omnicanal. Les clients plébiscitent les points d’entrée physiques, mais le digital y prend une place de plus en plus importante : avec les espaces personnels en ligne, l’identification sécurisée par e-ID, la signature électronique, les documents dématérialisés… L’identification numérique est autorisée par le Code monétaire et financier.
Les outils digitaux permettent aussi de recueillir facilement le consentement des clients pour la collecte et le traitement des données.
L’utilisation d’un coffre-fort numérique est la solution digitale pratique et la plus sécurisée pour diffuser à ses assurés et leur permettre d’archiver des documents dématérialisés, comme le bulletin d’adhésion, les pièces justificatives, l’avis d’échéance, les formulaires d’indemnisation…
Le digital tient une grande place dans la mise en œuvre de la procédure KYC. La certification Tiers de Confiance Numérique, comme en est distingué Docaposte, est amenée à se renforcer. Le futur Wallet Digital européen pourrait être sanctionné d’un label de confiance pour sécuriser toujours plus la relation entre un professionnel et son client.