5e directive anti-blanchiment : l'identification à distance fait un pas de géant

La 5e directive anti-blanchiment représente une véritable reconnaissance de l'identité numérique substantielle. Sa transposition en droit français va grandement simplifier les interactions entre clients et établissements financiers.

Depuis le texte fondateur de 1996 qui introduit le délit de blanchiment d’argent en France, des générations de lois se sont succédées pour renforcer son champ d’application. Celles-ci émanent pour majeure part des recommandations émises par le Groupe d'action financière (Gafi). une organisation intergouvernementale qui lutte contre la criminalité financière. En 2017, celle-ci préconisait par exemple aux États de conférer un caractère pénal au financement du terrorisme, ou encore d’interdire aux banques de tenir des comptes anonymes*.

Ces recommandations sont suivies par l’Union européenne sous forme de directives ; lesquelles sont par la suite transposées en droit interne. Dernière en date, la 5e directive anti-blanchiment est entrée en vigueur ce 10 janvier 2020 en France. Comme ces prédécesseuses, elle vient consolider la loi originelle de 1996, mais s’accompagne d’un ensemble de dispositions nouvelles qui élargit le spectre de la lutte contre la criminalité financière.

Tirer les leçons de l’affaire des Panama Papers

L’amélioration majeure apportée par la 5e directive concerne les transactions à distance, et plus spécifiquement la façon d’identifier une personne. Si cette problématique peut paraître éloignée du blanchiment d’argent, il s’agit pourtant d’un mode d’action indirect, en traçant les flux de capitaux. L’affaire des Panama Papers, qui a éclaté en 2016, l’a illustré : les sociétés-écrans constituent un moyen redoutablement efficace de dissimuler des fonds, car alors même que l’on connaissait l’existence des entreprises concernées, leurs bénéficiaires effectifs n’étaient pas identifiés. La 5e directive y remédie, en obligeant désormais toutes les sociétés immatriculées en France – y compris, donc, leurs filiales étrangères – à déposer la liste des bénéficiaires auprès du tribunal de commerce.

L’identification des personnes à distance

L’autre grand volet de l’identification à distance concerne les personnes physiques. Jusqu’à présent, un établissement n’était pas tenu d’identifier son client lorsque celui-ci effectuait des transitions d’une valeur inférieure à 250 euros par mois. La directive abaisse cette valeur à 100 euros pour toutes les transactions en ligne. Cette sécurisation des transactions est indispensable : comme en témoigne le dernier rapport annuel d’Europol, les fraudes financières "sans carte bleue" représentent la deuxième forme de cybercriminalité la plus répandue, derrière les ransomware (source : Internet Organised Crime Threat Assessment, 2019, Europol).

Prise seule, cette mesure pourrait cependant devenir trop contraignante pour les transactions quotidiennes ; c’est pourquoi elle s’accompagne d’une simplification de l’identification des personnes à distance. Depuis 2014, cette identification est régie par le règlement eIDAS, qui instaure 3 niveaux pour un fournisseur d’identité électronique : simple, substantiel ou avancé. La 5e directive tient donc compte du règlement, et permet aux fournisseurs d’identité électronique de devenir des relais entre les clients et leurs établissements financiers.

Jusqu’à présent, un citoyen qui voulait ouvrir un compte à distance devait fournir divers documents à sa banque pour prouver son identité. Avec la 5e directive, ledit citoyen aura simplement à créer son identité auprès d’un fournisseur d’identité électronique de niveau substantiel, qui se chargera ensuite d’en attester.

Un mode d’identification unique

Dans l’état actuel des choses, l’ouverture d’un compte à distance nécessite non seulement l’envoi d’une pièce d’identité mais aussi des mesures complémentaires. La banque concernée peut choisir deux mesures parmi les six prévues par la loi. Les plus classiques sont ainsi l’envoi d’une pièce additionnelle (un justificatif de domicile) ou un transfert d’argent depuis le compte d’une autre banque européenne. Moins connus sont le recours à un organisme financier appartenant au même groupe et le cas du tiers certificateur (un notaire, avocat ou "fournisseur de service technologique biométrique" qui existent mais dont aucun n’est encore certifié).

On le comprend, ces mesures sont complexes ; et c’est à cela que tient la simplification apportée par le recours à l’identité électronique substantielle. De mesure complémentaire, celle-ci devient désormais une mesure principale, au même titre que la fourniture d’une pièce d’identité. Cette évolution est cohérente dans la mesure où disposer d’une identité substantielle implique de scanner une pièce d’identité et d’y adjoindre, par exemple, la prise d’un selfie. Il y a donc d’ores et déjà un double mode d’authentification d’une personne, et qui peut se faire depuis chez soi.

La transposition en droit français de la 5e directive va simplifier toutes les démarches en ligne qui impliquent des transactions financières – soit une majorité d’entre elles. Qu’il s’agisse d’ouvrir un compte en banque ou de jeux en ligne, ces démarches bénéficieront de la simplification apportée par la reconnaissance de l’identité numérique substantielle comme moyen d’identification unique.

Dans les années à venir, les fournisseurs devraient se multiplier, et l’on devrait connaître non pas une mais des identités numériques. Cette multiplicité ne remet pas en cause le rôle des États à émettre des identités, dès lors que les fournisseurs privés qui les émettent respectent les critères fixés, justement, par l’État. Plus encore, c’est cette multiplicité qui assurera la résilience du système en cas d’attaque – et il y en aura : qu’il s’agisse de ransomware ou autre virus, la cybercriminalité a encore de beaux jours devant elle en Europe.