De l’offboarding chez Nickel, à qui incombe la responsabilité ?

La satisfaction des clients est considérée parmi les plus élevé chez NiCKEL. Ce qui n’est pas du tout du goût de ce client, comme en témoigne le présent article que je joins en commentaire, et pour qui NiCKEL a bloqué son compte. Certes le geste ne peut pas plaire à tout le monde, mais sous certaines conditions réglementaires, la clôture d’un compte est complètement fondée et justifiée et en particulier lorsque : l’usage du compte ouvert n’est pas conforme à la connaissance établie, aux conditions d’utilisation et/ou lorsque le titulaire du compte vient polluer le circuit financier national et européen avec de l’argent sale et/ou encore financer des actes abominables.

À travers ma lecture de l’article, j'ai identifié certaines imprécisions nécessitant une clarification, que j'aborde au niveau de ce post, en particulier en ce qui concerne la clôture de compte (offboarding) et le volet réglementaire.

Il est important de préciser que, NiCKEL n’est pas une banque, mais plutôt un EME (Établissement de Monnaie Électronique) qui gère les comptes proposés à ses clients. Pour exercer son activité, NiCKEL avait reçu un agrément en qualité d’établissement de paiement par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). Le compte bancaire proposé est en réalité un compte de paiement qui donne droit à une carte bancaire, de paiement et de retrait au niveau de tous les DAB (Distributeur Automatique de Billets). Le titulaire du compte de paiement peut émettre et recevoir des virements et des prélèvements.

Je souhaite également, via ce post, mettre en lumière le processus d'onboarding actuel de Nickel. Le partenaire actuel de vérification d'identité se contente de collecter une image du titre d'identité du client et un selfie, sans recueillir de vidéo document et de vidéo selfie à ce stade. Ceci, selon les experts, soulève des questions de fiabilité. Quid de la qualité de l’image grâce à une interface utilisateur (UI) comprenant une étape de cadrage (positionnement du titre d'identité dans un cadre bien défini), suivie d'un déclenchement automatique pour capturer une image nette et de bonne qualité (assurant la lisibilité du contenu) ? Ce deuxième critère de l’UI permettrait aux moteurs d’OCR d’extraire les données du titre, véhiculées respectivement au niveau de la VIZ et des lignes de la bande MRZ avec plus de précision.

Si je reviens à l'article publié par France 3 Occitanie, qui affirme que la qualité de l'image acquise est le seul critère de l'offboarding, cela soulève davantage de questions pour moi. En effet, à la fin du parcours, il y a bien une signature électronique de la convention d'ouverture de compte qui lie les deux parties. Un pavé de cette convention est réservé aux données personnelles, et plus exactement aux données d’état civile. Ces dernières ont bien été collectées du titre d’identité acquis (acquisition d’image) au début du parcours et qui ont servi à l’enrichissement de ce pavé. Alors la question étant de savoir si cette image acquise était de bonne ou de mauvaise qualité ?

Naturellement, je me suis posé les questions ci-après, en lien direct et indirect avec les données véhiculées au niveau du titre d’identité : 1) comment l’étape d’OCR a pu extraire la totalité des données citées ci-dessus et attendues par le SI de NiCKEL ? 2) comment, selon le type de TD (Travel Document) présenté, les contrôles des clés sur le n° du titre, la date de naissance, la date de délivrance, la date, d’expiration, etc. véhiculées au niveau des lignes MRZ, ont été effectués ? 3) comment le contrôle de cohérence entre les données de la VIZ et celles des lignes MRZ a été réalisés ? 4) si l’utilisateur avait présenté une CNI, comment le contrôle de cohérence, entre les initiales du nom et du prénom figurant sur la photographie du titulaire avec celles correspondantes au niveau de la VIZ et/ou des lignes de la bande MRZ a été réalisé ? 5) comment les trois micro-perforation figurant sur la CNI ont été détectées ? 6) si la photographie du titre était de mauvaise qualité, comment le match des deux gabarits biométriques collectés à la fois du selfie et de la photographie a était réalisé ? et comme, il n’y a qu’un selfie (pas de vidéo, pas de challenge n’est proposé) je ne vais même pas évoquer la notion de preuve de vivant.

Une autre interrogation qui se pose est la suivante : pourquoi le client n'a-t-il pas été sollicité par mail et/ou sms pour lui demander de fournir une pièce d'identité de meilleure qualité, sachant que ses données de contact sont bien disponibles et fournies par le client durant le parcours d’onboarding ?

Les EMEs sont-ils régulés par l’ACPR ?

Contrairement à ce qui est annoncé au niveau de l’article, je ne ferais aucun commentaire. Je dirais juste il y a quelques semaines, la commission des sanctions de l'ACPR a publié sa première décision de sanction de l'année 2024 : un blâme et une sanction d'un million d'euros à l'encontre de la société Treezor, établissement de monnaie électronique appartenant à la Société Générale. La sanction est motivée par plusieurs déficiences dans le dispositif de LCB-FT de l'établissement, notamment s'agissant du profil de risque attribué aux clients, de l'outil de surveillance des opérations et d'opérations suspectes non déclarées à TRACFIN. Un régulateur ne sanctionnerait pas un EME sans aucun fondement !!!

 La problématique de la lutte contre le blanchiment d’argent et le financement du terrorisme concerne les prestataires de paiement depuis la directive du 26 octobre 2005. L’ensemble des propositions ont été reprises puis abrogées par l’AMLD4. D’autres directives sont venues compléter l’arsenal législatif pour les prestataires de paiement, comme la Directive sur les services de paiement DSP2 et prochainement la DSP3.

Alors est ce que la qualité de l’image était-elle le seul motif de clôture de compte ou y avait ils d’autres raisons ?

Contrairement à ce qui est mentionné au niveau de l’article, NiCKEL est une Société Financière des Paiements Electroniques régulée et supervisée par l’ACPR. Elle doit respecter ses obligations réglementaires, gérant la connaissance client, imposées par le régulateur lors de l’entrée en relation (vigilance obligatoire) et post entrée en relation (vigilance constante). NiCKEL comme tout autre établissement financier est contrainte de réaliser une approche par le risque AML/CFT et peut de son plein droit réglementaire faire de l’offboarding si des éléments sont constatés lors de l’entrée en relation, de type : la personne figure au niveau d’un des fichiers de la Banque De France, de type : FICP (Fichier des Incidents de Remboursement des Crédits aux Particuliers) et FCC (Fichier Central des Chèques), la personne est en GDA (Gel Des Avoirs), la personne avait menti au niveau de l’étape déclarative sur sa fiscalité (notion d’américanité de la personne : US Person #FATCA #AutoCertification #CRS  #AEOI) et l’obligation de l’établissement de remonter certaines informations à la DGFIP (Direction Générale des Finances Publiques) et à son tour vers son homologue Américain, IRS (Internal Revenue Service).

Il en est de même post onboarding, lors de l’ongoing : si l’usage du compte n’est pas conforme à la connaissance établie (NB : le compte NiCKEL est à usage personnel et non professionnel), si le compte sert de compte mule bancaire, si des éléments ont été constatés lors de la revue périodique (Name Screening GDA), si des transactions financières véhiculent des indices négatifs dans la lutte contre la criminalité financière. Conformément à la 7ème Réglementation Spéciale (RS7) du GAFI (Groupement d’Action Financière), NiCKEL doit opérer certains contrôles sur l’émetteur (donneur d’ordre) du virement reçu sur le compte ouvert auprès de NiCKEL. La RS7 impose aux établissements financiers de réaliser une étape du criblage PPE Directe, PPE Indirecte, SIP, GDA et AMS, sur le donneur d’ordre. Ce dernier est identifié par interprétation des messages Swift selon la norme actuelle ISO 15022 (Swift ISO 15022) ou celle entrée en vigueur depuis mars 2023 ISO 20022 (Swift ISO 20022).

Mieux vaut tard que jamais : la différence entre CIP et KYC

Si les programmes CIP (Customer Identification Program) et KYC (Know Your Customer) ont pour objectif commun de garantir l'intégrité et la sécurité financières, ces deux concepts ont des rôles et des champs d'application distincts au niveau de la Due Diligence.

Le CIP s'articule autour de la vérification systématique de l'identité des clients. Ce processus, imposé par les régulateurs, exige que les institutions financières et les entreprises numériques confirment l'authenticité des identités des clients avant d'effectuer des transactions financières. L'objectif principal d'un CIP est d'obtenir et de valider des informations spécifiques sur les clients, notamment leur nom, leur adresse, leur date de naissance, etc.

Le KYC couvre un champ plus large que le CIP en englobant une compréhension holistique du profil du client au-delà de la simple identification. Si le KYC englobe certainement la composante de vérification de l'identité que l'on trouve dans le CIP, il étend son champ d'application avec une enquête sur les antécédents financiers du client, son profil de risque et son exposition potentielle aux risques associés au blanchiment d'argent, à la corruption et à d'autres activités illicites. La connaissance du client implique une Due Diligence plus complète, permettant aux institutions financières d'évaluer le niveau de risque potentiel du client. Elle leur permet de prendre des décisions éclairées sur l'opportunité d'un client et les guide dans leur décision de faire ou non des affaires avec ce dernier. Il s'agit d'évaluer des facteurs tels que l'origine des fonds du client, ses habitudes de transaction et ses liens avec des personnes politiquement exposées directes, indirectes et des personnes d’intérêt spécial (SIP : Special Interest Person).

Puis je termine ses quelques lignes que je n’avais pas du tout l’intention de rédiger par : il y a aussi les coïncidences ou le hasard : perdre sa pièce d’identité…