Naviguer entre la réglementation Know Your Customer (KYC) et le Règlement Général sur la Protection des Données (RGPD) peut sembler un défi pour les entreprises notamment les institutions financières. Pourtant, ces deux dispositifs juridiques, essentiels pour la protection des données personnelles et la lutte contre la fraude, peuvent être conciliés. Découvrez comment allier efficacement KYC et RGPD, en respectant les exigences de chaque réglementation, pour un processus conforme et sécurisé.
Comprendre le KYC et le RGPD
Pour bien appréhender l’enjeu lié au respect du RGPD lors d’une procédure KYC, il est impératif de comprendre ce que le processus KYC implique pour les entreprises et les citoyens, pourquoi est-ce une procédure stratégique et en quoi elle protège aussi bien les entreprises que les particuliers.
Importance du KYC pour les entreprises
Le KYC – Know your customer est un process initialement bancaire. C’est, dans le cas des secteurs bancaires et assurantiels, une obligation légale. En cas de non-conformité les entreprises du secteur s’exposent à des sanctions financières et réputationnelles comme de lourdes amendes .
Concrètement, le KYC vise à mieux connaître la personne physique ou morale avec laquelle une société entre en relation. Initialement le KYC répond à un devoir de vigilance relatif à la directive LCB-FT (Lutte contre le blanchiment d’argent et le financement du terrorisme). Pour ce faire, l’entreprise doit vérifier l’identité et les documents transmis par le client qu’il soit une personne morale ou physique (revenus d’imposition, justificatif de domicile, extrait KBIS..) en respectant une procédure stricte et en effectuant des contrôles précis. Pour compléter l’analyse et définir le niveau de risque du potentiel client, l’entreprise va également vérifier que la personne n’est pas recensée sur des listes de sanctions ou de personnes politiquement exposées. Une fois les éléments contrôlés, si aucun élément suspicieux n’est ressorti alors l’entreprise peut entrer en relation d’affaire avec la personne ou l’entreprise. Dans le cas ou une alerte remonterait en raison d’opérations suspectes ou de soupçons de fraude à l’identité, alors l’entreprise est tenue d’effectuer une déclaration de soupçons à l’autorité compétente : TRACFIN.
Toutefois, ces contrôles doivent être effectués à des dates clés tout au long de la relation afin de s’assurer que le profil est toujours fiable et que la relation d’affaire peut se poursuivre tout en disposant d’une bonne connaissance client. Il s’agit de la remédiation.
Au vu des enjeux, les entreprises doivent définir des procédures strictes et s’assurer d’être en conformité pour éviter tout risque de fraudes, ou de sanctions dans le cas des banques.
En jeu, la protection de l’entreprise, des collaborateurs ainsi que des clients.
Obligation du KYC : pourquoi est-ce nécessaire ?
La réglementation autour du KYC
Le KYC est régit par des lois internationales et nationales. Concrètement, c’est le GAFI (Groupe d’action financière internationale) qui émet les recommandations globales autour de la lutte contre le blanchiment d’argent. Puis, les pays adaptent les recommandations au niveau nationales.
Au niveau européen, c’est la 5ème directive LCB-FT qui définit le cadre du KYC.
Concernant la France, c’est l’AMF (Autorité des Marchés Financiers) et l‘ACPR (Autorité de Contrôle Prudentiel et de Résolution) qui appliquent, contrôlent et sanctionnent les entreprises du secteur de la banque et de l’assurance. Les entreprises de tous secteurs peuvent également se faire sanctionner par la CNIL (Commission nationale informatique et libertés) en cas de non respect du RGPD.
Les sanctions en cas de non-conformité au KYC
La non-conformité de la procédure KYC peut avoir de lourdes conséquences pour les entreprises. Tour d’horizon des risques encourus par ces dernières :
- Sanctions financières : en cas de manquement, les entreprises s’exposent à des amendes pouvant atteindre jusqu’à 50 millions d’euros en France.
- Sanctions pénales : le non respect du KYC, peut occasionner jusqu’à 5 ans de prison pour la personne responsable.
- Sanctions réputationnelles : pour les banques et assurances, l’ACPR peut décider de publier les sanctions sur son site. Pour l’ensemble des entreprises, elles s’exposent à une couverture médiatique négative pouvant impacter sa réputation auprès de ses clients, prospects, partenaires et collaborateurs…
Le RGPD : comprendre ses enjeux et obligations
Les principes fondamentaux du RGPD
Le RGPD – Règlement Général sur la Protection des Données – est un règlement européen né en 2016 au parlement européen. Le digital a bousculé les usages et de nombreuses données personnelles ont commencé à être collecté par les entreprises. Ainsi, l’ambition du RGPD est d’encadrer la collecte et l’utilisation des données personnelles des personnes physiques par les entreprises européennes ou commerçants avec un pays européen.
Les droits des individus selon le RGPD
Le RGPD permet aux individus de pouvoir mieux contrôler leurs données personnelles et leur utilisation. Pour ce faire, le règlement stipule que ces derniers disposent de plusieurs droits :
- Les individus doivent réaliser un consentement explicite lors de la récolte des données. Pour ce faire, elles doivent accepter les cookies ou encore cocher l’acceptation de recevoir une newsletter par exemple. Elles doivent également avoir accès de manière simple à leurs droits mais également aux modalités d’utilisation de leurs données.
- Ils peuvent récupérer leurs données personnelles en demandant une copie à l’entreprise.
- Ils ont également le droit de modifier les données s’ils le souhaitent voire de demander leur suppression.
- Enfin, ils ont la possibilité de s’opposer à l’utilisation de leurs données, sauf si ces dernières ont été récolté par un organisme étatique.
Ces éléments permettent ainsi aux individus de maîtriser leurs données mais également leur utilisation afin de se protéger au mieux.
Les obligations des entreprises sous le RGPD
Le RGPD a également impacté les entreprises. Ces dernières ont dû adapter leurs process et fonctionnement aux droits des individus édités par le règlement européen.
Concrètement, les entreprises sont tenues :
- d’intégrer dès l’élaboration du produit ou service l’utilisation des données personnelles afin de s’assurer de respecter le RGPD,
- d’alerter les autorités compétentes ainsi que les personnes physiques en cas de fuite des données,
- de nommer un délégué à la protection des données. Ce dernier est en charge de veiller au respect du RGPD : collecte, utilisation, stockage des données et assurer la sécurité des systèmes d’informations. Enfin, il doit répondre aux demandes des institutions et des personnes physiques qui souhaiteraient exercer leurs droits. En cas d’audit, il devra être en capacité de prouver que l’entreprise respecte le RGPD.
Sanctions en cas de non-respect du RGPD
En cas de non-respect du RGPD, les entreprises encourent de lourdes sanctions. C’est la CNIL (Commission Nationale de l’Information et des Libertés) qui veille au respect du RGPD et sanctionne en cas de manquement.
Concrètement, la CNIL peut sanctionner de manière graduée. Ainsi, elle peut :
- effectuer un rappel à l’ordre,
- exiger une mise en conformité,
- limiter voire interdire à l’entreprise l’utilisation de données à caractère personnel,
- arrêter le flux de données,
- astreindre l’entreprise à répondre aux demandes des personnes physiques,
Dans les cas de manquements graves, la CNIL peut sanctionner avec une amende pouvant s’élever à 20 millions d’euros.
Enfin, ces diverses sanctions peuvent être divulguées dans la presse causant un préjudice réputationnel pour l’entreprise. Cela peut avoir des conséquences graves en terme de réputation et de confiance de la part de ses différentes parties prenantes.
Rapprochement entre KYC et RGPD : est-ce possible ?
Dans le cadre d’un KYC, de nombreuses données personnelles sont récoltées afin de mieux connaître le client. Cela implique donc que les entreprises sont tenues de respecter le règlement RGPD.
Pour cela, le process de récolte puis d’analyse et enfin de stockage des données personnelles doit être bien pensés. Concrètement, comment les entreprises doivent elles procéder pour respecter le RGPD dans le cadre d’un KYC ?
Concilier protection des données et exigences KYC
Les documents nécessaires pour un dossier KYC conforme au RGPD
Dans le cadre d’une procédure KYC, les entreprises récoltent un grand nombre de données personnelles.
Elles peuvent être amenés à collecter des éléments autour de :
- Son identité : documents d’identité : pièce d’identité, passeport, titre de séjour, permis de conduire, numéro de sécurité sociale..
- Sa situation financière : relevés d’imposition, vérifier les différentes transactions financières,
- Son domicile : justificatifs de domicile,
- Les documents relatifs à sa société : extrait KBIS, registre d’actionnaires…
Tous ces éléments sont jugés sensibles et leur utilisation doit être maitrisée par l’entreprise et ses collaborateurs.
L’importance d’une procédure de collecte de données respectueuse du RGPD dans le cadre du KYC
Le respect du RGPD dans le cadre du KYC est une obligation légale mais aussi un levier de confiance pour les clients. Il requiert une vigilance constante lors de la collecte, du traitement et du stockage des données.
Il faut notamment veiller à :
Minimiser les données collectées : se limiter aux informations strictement nécessaires pour le KYC.
Assurer la transparence : informer les clients sur l’utilisation de leurs données et obtenir leur consentement.
Prévoir des mesures de sécurité adéquates : pour protéger les données contre les accès non autorisés ou les fuites comme par exemple disposer de cloud souverain, définir des process d’utilisation et de stockage des données.
Prévoir un droit à l’oubli : permettre aux clients de demander la suppression de leurs données.
La mise en place d’une procédure de collecte de données respectueuse du RGPD est donc cruciale pour une conformité KYC efficace et pour maintenir la confiance des clients. Dans ce cadre la, le responsable conformité et le RSSI (responsable de la sécurité des systèmes d’informations) sont des personnes indispensables à intégrer et garantes du respect des normes réglementaires.
Les outils technologiques facilitant la conformité KYC et RGPD
Il existe des outils digitaux, crées par des tiers de confiance européen, qui permettent d’allier aisément la conformité RGPD et le KYC.
Ces outils sont pensés pour intégrer les normes règlementaires lors de la constitution du parcours. Elles garantissent également la sécurité des données et permettent aux entreprises de prouver leur conformité en cas de contrôle.
Concrètement, comment cela fonctionne ?
Dans le cadre d’un outil de contrôle documentaire, lors de l’implémentation, le client et le tiers de confiance vous paramétrer la solution de vérification d’identité la plus adaptée, les documents nécessaires au KYC du client mais également les points de contrôles unitaires et croisés à réaliser afin d’être en conformité. Enfin, les listes de sanctions à interroger lors du KYC vont être également définies pour garantir un KYC conforme.
Une fois ces éléments paramétrés, le système de pondération va être défini en collaboration avec le client afin de paramétrer les alertes en cas de suspicion de fraude ainsi que la procédure à suivre dans le cadre du parcours : arrêt du parcours, poursuite avec alerte dans le back office..
Enfin, il est possible de paramétrer le processus de remédiation à des dates clés, avec que l’outil effectue en temps et en heure les contrôles annuels.
Une fois, ces éléments paramétrés alors l’outil est prêt à être utilisé par le client.
A chaque fois qu’un KYC réalisé un rapport de contrôle est crée puis stocké afin de garantir la traçabilité de la procédure et permettre à l’entreprise d’attester du respect de la réglementation. Ce rapport de contrôle est accessible à tout moment dans le back office de l’outil.
Les données qui ont été collectés quant à elles, sont stockés dans des cloud sécurisés et disposant d’un accès restreint pour garantir le respect du RGPD.
Ainsi, en optant pour un KYC digital crée par un tiers de confiance européen comme VIALINK, régulièrement audité et garantit conforme aux règlementations par les institutions européennes, vous vous assurez de disposer d’un processus KYC fiable, sécurisé et conforme.
