Le "KYC" : risques et périls d'une procédure

Aujourd'hui, et à travers le prisme technologique et mondialisé de l'économie, l'adage peut être adapté et devenir "connais de la meilleure façon qu'il soit tes clients". Connaitre ses clients, c'est maîtriser son potentiel d'évolution, mais aussi tous les risques identifiés de perte, de vol ou d'actions malveillantes, et en particulier au sein du secteur de la banque finance.

Parmi toutes les technologies qui s’érigent au sein de ce secteur, celles qui font de leur combat la lutte contre la fraude identitaire bancaire brandissent haut le drapeau de la prévention à l’information frauduleuse. Si la fraude identitaire est devenue un lieu commun des tentatives de duperie et d’escroquerie, c’est parce que les personnes tentées par l’appât du gain savent innover en moyens et astuces, plus innovants les uns que les autres.

Ces manipulations ne nourrissent aucunement un but noble. De la simple falsification de documents officiels pour obtenir un crédit jusqu’au financement du terrorisme, le spectre d’application est large. La motivation première reste bien évidemment l’enrichissement illégal et la possession de biens à court terme mais dans les cas extrêmes, cela peut être bien pire encore.

La notion de responsabilité de chacun est engagée et les actions de prévention, de détection et de lutte efficace contre ces rapines sont de plus en plus mises en place. Les autorités publiques, nationales mais aussi européennes se sont emparées du sujet, afin de mettre en place au sein des établissements bancaires, des dispostifs réglementaires  efficaces.

Les banques sont donc contraintes, dans un souci éthique, économique mais également technologique de maitrise des données clients et de véracité, d’intégrer des dispositifs et des systèmes d’informations performants pour s’armer contre toutes ces réalisations.

De fait, est-ce qu’une utilisation massive de ce système résoudrait, d’une façon, le problème sous-jacent et plus structurel, de la sécurité du rapport banque / data personnelle stockées et analysée ? Ou bien n’engendrerait-elle pas de nouvelles difficultés du point de vue de la protection des données personnelles ? 

La philosophie du "Know Your Customer "

Afin d’être succinct dans la définition de ce système qui fait consensus dans le milieu bancaire et au-delà (on pense notamment à l’assurance, la finance à titre d’exemples), attachons-nous à rappeler les principaux éléments généraux qui connaissent des adaptations au cœur de chaque entité bancaire. 

Le « KYC » combine connaissance client poussée (informations dites de base comme l’identité) mais également vérifications accrues autour de l’existence confirmée du client identifié sur les bases de données. Concrètement, cela peut prendre la forme d’une base de données alimentée et mise à jour quotidiennement, dans laquelle on retrouverait le nom, le prénom, mais également la solvabilité du client, ses endettements, son historique bancaire, ses opérations, etc. 

Certaines initiatives visent à combiner les informations collectées au sein des différents établissements bancaires et de nourrir une grande base de données commune. L’idée est de faire bénéficier les uns comme les autres de ce qui existe déjà pour ne pas perdre son énergie à remobiliser des équipes. Sur certains besoins (ouvertures de comptes, etc), les documents demandés sont identiques dans 80% des cas.  

Toute cette manne informationnelle a donc pour but d’être capable de rendre compte de la véracité de l’information récoltée. Et si aujourd’hui, nous sommes capables de bien récolter l’information, de bien la qualifier et de bien l’utiliser, il est alors possible de pousser les limites du « KYC » traditionnel à l’aide de l’algorithmie permise par l’intelligence artificelle, plutôt en machine learning (i.e, méthode d’apprentissage). 

Le « KYC », différentes facettes d’un même objectif 

Le « KYC » peut donc prendre plusieurs formes, et s’aider d’applicatifs performants.

Certains dispositifs existants concentrent les efforts sur l’identification de la fraude bancaire de façon globale, et en particulier la falsification de documents officiels. Des éditeurs tels que Resocom ou DocuSign proposent des solutions clé en main pour gagner du temps sur le traitement de l’information et du document analysé, mais aussi pour sécuriser la digitalisation des documents contractuels qui nécessitent un paraphe. 

Au-delà de l’aspect fonctionnel, c’est une adoption large en termes d’usage qui est nécessaire.

C’est un véritable combat qui se livre pour éviter les écueils propres à la fraude bancaire, et l’exemple du blanchiment d’argent incarne très bien ce combat. Le blanchiment d’argent est défini par la dissimilation volontaire de capitaux acquis illégalement dans des activités légales (par l’investissement), ou par le placement dans des entreprises dites « écrans ». Le chemin parcouru par ces flux de capitaux est un circuit sinueux mais jalonnés d’étapes visant à falsifier certains documents d’identités ou autres. Des dispositifs légaux et gouvernementaux tels que Tracfin assurent le suivi des remontées, dispositif placé sous l'autorité du Ministère de l'Action et des Comptes publics.

Cependant, de nombreuses questions émergent et remettent en avant le débat entre besoins sécuritaires et liberté de disposer de ses données sans qu’elles ne soient la propriété d’une tierce personne (morale ou physique). L’argument de prévention et de sécurité est souvent invoqué pour justifier l’utilisation d’outils de vérification. Cela n’empêche certes pas les interrogations liées à la bonne gestion de la data récoltée ainsi que sur les risques liés. 

Le "KYC" (Know your custumer) s'apparente donc à un système (méthodologie d'application associée à des outils de déploiement) qui va aider les banques à séparer le bon grain de l'ivraie.

Les risques cachées du « KYC » : la lutte transverse de la cyber-attaque 

Entre le contrôle ou vérification de la data, et l’exploitation illégale abusive de cette dernière, il peut n’y avoir qu’un pas. Bien que la lutte contre la fraude et le blanchiment d’argent permettent d’éviter des démarches funestes tels que le financement du terrorisme à grande échelle, la question de la valeur de la donnée rentre en ligne de compte. En effet, si la data collectée présente un intérêt important pour des luttes ciblées, il ne reste pas moins certains que des données moins importantes peuvent se retrouver hackées et vendue.

A titre d’exemple, les dispositifs de sécurisation autour du stockage de documents officiels d’identité doit être perfectionné et doit bien ficelé. Endiguer le problème du vol de données doit être au centre de toute stratégie « KYC » déployée afin de mobiliser les outils et les ressources humaines pertinentes. Des éditeurs tels que Avast, ou Bitfender en font leur coeur de métier. Toutefois, les bonnes pratiques inculquées au quotidien auprès des collaborateurs est un premier rempart efficace.

Le KYC est donc une pratique qui fait l'unanimité auprès des mastodontes du monde de la banque, de la finance mais aussi de l'assurance. Bien que maitrisée, elle doit être cadrée de façon complète et préventive en ce qui concerne les problématiques de sécurité de la donnée récoltée et stockée. 

L'intelligence artificielle doit permettre de trouver de nouvelles logiques là -dessus et de pousser la lutte globale, tout en améliorant la détection des fraudes. La quantité de data disponible est un pré-requis déjà présent dans chaque établissement bancaire. De fait, l'exploitation de ces données dans une IA accroit la performance des activités, la rapidité de traitement des problématiques et la bonne coordination des services.