Les start-ups FinTech innovantes évoluent dans un environnement hautement réglementé. On exige d’elles qu’elles connaissent leurs clients et les identifient clairement. Dans ce contexte, le mot-clé “KYC” revient souvent. KYC signifie “Know Your Customer” et se réfère à l’identification et à la vérification des clients d’une entreprise. Le KYC est un élément essentiel de la lutte contre le blanchiment d’argent par les entreprises Fintech et son respect est obligatoire pour de nombreux acteurs du secteur financier.
Le KYC se compose de plusieurs étapes : l’identification des données du client, la vérification des données d’identité du client et la réalisation de contrôles d’antécédents sur la base de preuves d’identité et d’autres informations pertinentes. Si nombre de ces vérifications sont imposées par la loi, ces procédures sont souvent particulièrement gourmandes en données et concernent des catégories de données qui touchent profondément à la sphère privée des clients.
Dans ce contexte, les FinTech évoluent régulièrement dans un champ de tensions qu’il n’est pas aisé de résoudre. D’une part, un grand nombre de données sur les clients doivent être collectées à des fins de vérification et de minimisation des risques, d’autre part, la législation sur la protection des données exige de traiter le moins de données personnelles possible dans le cadre de la minimisation des données. Pour répondre à la fois aux exigences de la réglementation financière et à celles de la législation sur la protection des données, il est important de prendre en compte les exigences de la protection des données dès le début. Cela permet d’éviter des coûts élevés liés à la modification de processus et de systèmes logiciels.
Dans cette série de publications sur le blog, nous présentons les points les plus importants en matière de protection des données dont les startups FinTech doivent tenir compte dans leurs procédures KYC. Nous mettons l’accent sur trois aspects principaux :
- Identification des données : Quelles données peuvent être traitées ? Comment traiter les documents d’identification ? Comment éviter de collecter des catégories de données non autorisées ?
- Suivi des données : Quelles sont les exigences en matière de logiciel de traitement et d’autres outils en ce qui concerne l’intégrité des données ? À quoi dois-je faire attention lors du choix des prestataires de services ? Comment les données sont-elles transmises et transférées à des tiers ou à l’étranger conformément à la loi ?
- Gestion des données : Comment informer correctement les personnes concernées ? Quelles sont les mesures techniques et organisationnelles à implémenter ? Comment et où puis-je conserver les données en toute sécurité et quand dois-je les effacer ? Quels sont les droits de mes clients dans les processus KYC ?
Connaître tes données
Définition de l’objectif de chaque point de données KYC
La première étape consiste à déterminer quelles données sont nécessaires et à quelles fins. La finalité est définie par la réglementation applicable en matière de protection des données. Le RGPD et la nouvelle loi fédérale sur la protection des données ne concernent que les données à caractère personnel. Les données des personnes morales ne sont ainsi pas concernées par les règles. Toutefois, la notion de données à caractère personnel est relativement large, de sorte qu’une lettre commerciale d’une société à responsabilité limitée, par exemple, dans laquelle l’adresse électronique de la personne de contact permet de déduire son nom, contient également des données à caractère personnel.
Conformément au principe de minimisation des données, il ne faut pas traiter plus de données que nécessaire à la finalité dudit traitement. Par conséquent, s’il existe une obligation d’identification ou de vérification, les données à caractère personnel nécessaires peuvent être le nom, la date de naissance, le lieu de naissance et la nationalité. Les documents nécessaires à la vérification sont par exemple les cartes d’identité, l’e-ID ou les procédures d’identification vidéo. En outre, des documents supplémentaires tels que des extraits du registre du commerce ou des procurations peuvent parfois être nécessaires pour vérifier les autorisations. Des détails plus précis découlent des lois applicables, telles que la loi sur le blanchiment d’argent, et peuvent varier d’une entreprise à l’autre.
Réduction des données d’accompagnement KYC et, si cela est inévitable, planification du maniement de ces données.
Ces données peuvent et doivent être traitées régulièrement à des fins d’identification. La manière dont sont traitées les données à caractère personnel collectées en tant que “traitement incident” constitue toutefois un défi en matière de protection des données. Ainsi, le nom de naissance permet parfois de connaître l’état civil, tandis que les photos et les vidéos révèlent des caractéristiques de santé (par exemple, lunettes, appareils auditifs), l’ethnie et éventuellement la religion (par exemple, en cas de couvre-chefs religieux). Selon un récent arrêt de la CJUE, ces données peuvent même constituer des “catégories particulières de données à caractère personnel” sensibles dont le traitement est strictement limité.
Il n’est pas toujours possible d’éviter la collecte de ces données indirectes en tant que “traitement incident”, car il existe souvent une obligation légale de stocker une copie de carte d’identité, par exemple. C’est pourquoi il est important d’établir un processus qui, d’une part, exclut que de telles données soient activement demandées ou enregistrées en tant que catégorie de données distincte. D’autre part, il convient également d’empêcher autant que possible que de telles données soient collectées en parallèle à partir d’autres sources (registres, prestataires de services, sources publiques). Il existe à ce stade un grand potentiel d’automatisation des processus KYC, car dès la collecte, certaines caractéristiques qui ne sont pas nécessaires à l’identification peuvent être automatisées et rendues anonymes par des moyens techniques.
Documentez le processus de collecte des données pour votre entreprise et les éventuelles vérifications par les autorités.
Il se peut également que des prescriptions légales exigent d’autres collectes de données, comme par exemple les degrés de parenté et les données personnelles de tiers (membres de la famille) pour les personnes politiquement exposées au sens des lois sur le blanchiment d’argent. Dans ce cas, il faut clairement documenter et limiter les personnes auprès desquelles de telles données doivent être collectées et selon quelle base légale cela est fait. Si ces données sont extraites de bases de données, il convient ici aussi de normaliser un processus qui évite un excès d’informations (par exemple des informations historiques inutiles) ainsi que des extraits faussement pertinents (par exemple en cas d’homonymie). De nombreuses bases de données permettent de minimiser cette “surcharge de données” grâce à un report building intelligent. Ceci n’est pas seulement nécessaire pour des raisons de protection des données, mais également avantageux dans le cadre de l’assurance qualité des bases de données. Il en va de même pour l’obligation légale de déterminer l’origine du patrimoine et les ayants droit économiques.
Lors de la première définition du processus KYC, il convient donc de documenter de manière compréhensible quelles données sont consultées et enregistrées, dans quel but et pour quelle finalité. Cela permet également aux autorités de surveillance de déterminer a posteriori les motifs du traitement de certaines données. Lors du choix des sources d’identification d’une personne, il convient en tout état de donner la préférence, dans la mesure du possible, aux données accessibles au public ou aux informations fournies par les personnes elles-mêmes.
“Privacy by design” pour les processus KYC
Dans le cadre de l’élaboration d’un processus KYC, les aspects liés à la protection des données devraient être adressés dès le début, afin d’éviter des modifications ultérieures compliquées et coûteuses des bases de données et des structures. Cela permet également de répondre aux exigences du RGPD et du nouveau droit fédéral en matière de protection des données eu égard au principe de “privacy by design”. En ce qui concerne la définition des données à collecter et la manière de les collecter, il convient de tenir compte des points suivants :
- Définir précisément les catégories de données à caractère personnel nécessaires, sur quelle exigence légale cela repose et comment ces catégories peuvent être attribuées à une finalité claire (“De quelles données ai-je absolument besoin ?”) ;
- Définir les documents appropriés pour prouver les catégories de données requises (“De quels documents ai-je absolument besoin pour vérifier les données ?”) ;
- Tenir compte du principe de minimisation des données dans vos réflexions, par exemple en consultant les données au lieu de les enregistrer et en utilisant des procédures automatisées dans lesquelles les données non nécessaires sont rendues anonymes dès le début ;
- Limiter les données erronées et les “traitements incidents” sensibles non autorisées grâce à des processus clairs, par exemple à l’aide d’un report building intelligent.
Dans le prochain article de cette série, nous examinerons plus en détail le processus KYC du point de vue de la protection des données et nous nous pencherons sur le thème “Suivi des données”. Nous analyserons notamment les moyens de traitement (outils logiciels et bases de données de tiers) et le transfert de données (principe du “need-to-know”, transfert et stockage dans des pays tiers).
