Depuis le 1er janvier 2016, l’ordonnance remaniée sur le blanchiment d’argent (OBA) est en vigueur. Elle permet à la FINMA de tenir compte de nouvelles technologies qui garantissent la sécurité requise pour la mise en œuvre des obligations de diligence. La FINMA est tenue d’annoncer publiquement cette pratique. Elle a donc publié la circulaire FINMA 2016/7 «Identification par vidéo et en ligne» le 17 mars 2016. Celui-ci décrit les obligations de diligence lors de l’établissement de relations d’affaires par voie numérique et sans changer de médias. L’industrie financière suisse peut ainsi mettre en œuvre la numérisation des procédures d’affaires. Nous vous montrons quels sont les risques et comment les gérer.

La circulaire prévoit que les intermédiaires financiers définissent des mesures et mécanismes de contrôle pour garantir la sécurité et la confidentialité de toute la procédure d’identification et des données correspondantes. Une réflexion sur les risques permet d’identifier d’autres aspects de cette procédure à prendre en considération par la partie qui l’applique. Voici une sélection de défis dont il faut tenir compte lors de la définition et l’aménagement de l’organisation, des processus et des systèmes.

Compliance

Après avoir été informé en détail de la procédure et des informations qu’elle permet de collecter, le demandeur doit donner explicitement son accord pour la réalisation de l’identification par vidéo et en ligne. La procédure comporte cependant des risques de compliance qui vont au-delà des exigences de la LBA (OBA-FINMA) et la CDB. La loi sur la protection des données en Suisse et celle du pays de domicile du demandeur doivent être respectées.1

De plus, toutes les informations et tous les résultats de l’identification par vidéo et en ligne doivent être administrés et conservés conformément aux principes de la comptabilité commerciale et du traitement électronique des données (Code des obligations et Ordonnance concernant la tenue et la conservation des livres de compte). Le nonrespect de ces principes entraîne d’importants risques financiers et de réputation.2

Notre recommandation: Avant de mettre en œuvre une procédure d’identification par vidéo et en ligne, les intermédiaires financiers devraient se demander dans quels pays ils souhaitent proposer l’identification numérique. Ils devraient étudier les exigences légales et réglementaires de ces pays et en tenir compte lors de la définition et de l’application des procédures. Parallèlement, ils doivent être prêts pour la numérisation, c’est-à-dire remplir les conditions de base en termes d’organisation avec, par exemple, un système de gestion des informations et un système d’archivage électronique, afin de pouvoir présenter les justificatifs de l’identification réalisée pendant toute la durée légale requise.

Cybercriminalité

En plus de scénarios connus comme ceux liés à l’e-banking, l’identification par vidéo et en ligne offre de nouvelles possibilités d’attaque. Des pirates pourraient par exemple intercepter l’identification par vidéo dans l’ordinateur manipulé d’un nouveau client et s’en resservir auprès d’autres instituts. Ils essaieraient ainsi de nouer une relation d’affaires sous une fausse identité. Des premiers kits vidéo ou des toolkits pour le «Sextortion»3 circulent déjà sur le «dark web». Ils permettent de passer directement une séquence vidéo spécifique pour répondre à une question ou une action de l’interlocuteur. On pourrait aussi imaginer une attaque de l’homme du milieu («man in the middle attack») : la victime croirait participer à un sondage vidéo en ligne ou à un concours alors qu’elle serait en train de s’inscrire comme nouveau client auprès d’une banque. L’indépendance du demandeur lors du choix des terminaux mobiles engendre elle aussi des risques. Contrairement à la correspondance, l’adresse ne peut pas être identifiée et échangée clairement et il pourrait s’agir d’un terminal volé.

Notre recommandation  : Le catalogue de questions ne doit pas être statique. Il faut pouvoir modifier l’ordre des questions. À titre de mesure complémentaire, des questions de contrôle générales peuvent être incluses. Ceci permet de minimiser le risque organisationnel de séquences vidéo préenregistrées. Sur la base d’observations psychologiques et comportementales, la personne qui pose les questions peut reconnaître les réactions de son interlocuteur voire des séquences vidéo différentes (éventuellement des transitions saccadées). Les dangers doivent faire l’objet d’une attention particulière et ce, tout au long de la procédure, de l’identification jusqu’à la fourniture des données d’accès (p. ex. pour la banque en ligne). Il convient aussi d’examiner si une vérification complémentaire est possible à l’aide d’autres bases de données ou de sources d’information indépendantes.

Faux dans les titres

Le contrôle de l’authenticité de la pièce d’identité requiert non seulement un œil averti, mais aussi des connaissances spécialisées sur les différents éléments de sécurité. Lors de l’entretien personnel, on peut vérifier les caractéristiques d’une pièce d’identité aussi bien sur le plan visuel que tactile. Dans le cadre de l’identification par vidéo et en ligne, ce contrôle se limite à l’aspect visuel. Du fait de cette réduction de canal, le risque existe que des caractéristiques évidentes ne soient pas reconnues lors de l’identification via un canal en ligne.

Notre recommandation: Pour le contrôle visuel, la personne en charge des questions doit disposer d’aides techniques faisant automatiquement la comparaison avec les éléments de sécurité usuels. Elles contrôlent par exemple non seulement les éléments de sécurité, mais comparent aussi sur le plan technique la personne qui s’identifie à celle de la photo. En même temps, les collaborateurs devraient connaître les pièces d’identité officielles des pays concernés ainsi que leurs spécificités. L’intermédiaire financier doit donc, avant la mise en œuvre, définir dans sa stratégie les pays où il souhaite proposer l’identification par vidéo et en ligne.

Tromperie

L’identification par vidéo et en ligne entraîne plusieurs risques de tromperie intentionnelle. Le demandeur peut profiter de la réduction au canal en ligne, d’une mauvaise lumière, d’un débit de transmission insuffisant (p. ex. du fait d’une transmission mobile), de forts bruits parasites, d’un champ visuel réduit au seul visage de la personne ou d’une résolution insuffisante de la caméra pour se rendre coupable de tromperie. De plus, des informations couvertes de manière ciblée ou une manipulation particulière du document d’identification (basculement ou pivotement trop rapide) peuvent être d’autres indices d’une tentative de tromperie.

Notre recommandation: Avant de commencer l’identification par vidéo, l’intermédiaire financier doit informer le demandeur des conditions de celle-ci: une lumière adaptée, un environnement calme, des exigences techniques minimales posées à la caméra frontale. En outre, les personnes en charge des questions doivent reconnaître aussi bien les tromperies manifestes que celles dissimulées et interrompre la procédure d’identification. L’intermé- diaire financier doit clarifier quels incidents sont à déclarer (la LBA prévoit de telles déclarations) et documenter les procédures d’identification interrompues. Il peut se servir de ces expériences pour identifier à temps les éventuelles futures tromperies.

Prestataire externe

Une technologie spéciale étant souvent utilisée dans le cadre de l’identification par vidéo et en ligne (logiciel de contrôle des éléments holographiques ou signature), il est fait appel à des fournisseurs de logiciels externes. Des prestataires externes effectuent l’identification par vidéo avec du personnel qualifié et des structures de call-center dédiées aux entretiens avec les clients. L’intermédiaire financier risque de perdre le contrôle et de ne pas pouvoir assumer ou imposer sa responsabilité du fait de l’externalisation de savoirs, de compétences et de processus partiels. Autre danger: le prestataire externe peut ne pas disposer du même niveau de protection et de la même culture pour la protection des données du client, ou ne pas appliquer le même degré de diligence lors de l’identification par vidéo et en ligne que celui prévu par l’intermédiaire financier.

Notre recommandation: En particulier lors de l’externalisation totale de procédures, de technologies et de systèmes, les intermédiaires financiers devraient disposer de structures appropriées pour définir, surveiller et faire un reporting des contrôles, normes qualitatives et statistiques des processus auprès des prestataires externes. Ceci peut se faire par des rapports de contrôle (ISAE 3402 ou ISAE 3000), des certifications de prestataires externes ou de solutions logicielles et via des «Service Level Agreements». Ces contrats visent à définir les besoins de protection et d’autres concepts ainsi que le niveau de protection. En outre, l’échange régulier entre les parties est important; c’est en effet la seule manière d’analyser régulièrement les risques et dangers et de définir des mesures et contrôles appropriés. Les banques devraient aussi tenir compte du fait qu’une externalisation de la procédure peut constituer un outsourcing au sens de la circ.-FINMA 08/7 «Outsourcing – Banques» et nécessiter d’autres mesures contractuelles.

Conclusion

D’autres risques-clés existent en fonction de l’orientation (p. ex. des pays) et de l’amé- nagement de la procédure et des systèmes techniques. Les réflexions sur les opportunités et les dangers devraient également inclure des considérations de rentabilité. Certains risques qui existaient déjà dans la procédure d’identification traditionnelle sont en partie accentués du fait de la réduction du canal. Mais le canal en ligne comporte aussi de nouveaux risques: un cadre de gestion du risque peut identifier en temps utile les modifications et dangers technologiques. Les intermédiaires financiers devraient donc en avoir un et garantir ainsi que les processus, procédures et contrôles et le niveau de protection sont adaptés au danger dans un délai raisonnable. Ils ont besoin de contrôler l’organisation, les processus et la sécurité informatique pour éviter les risques ou les réduire à un niveau acceptable.