Préambule
Chez Namirial, nous collaborons étroitement avec des clients du secteur financier – des banques et prestataires de paiement aux fintech émergentes et prestataires de services sur crypto-actifs. L’un des défis récurrents dans ces missions est d’aligner les processus d’onboarding et de KYC avec un cadre réglementaire de plus en plus complexe. Nous avons donc estimé utile de clarifier le paysage réglementaire actuel, en mettant en évidence la coexistence de l’eIDAS 2.0, AMLR, AMLD6, PSD3, PSR et MiCAR, et d’expliquer pourquoi investir dans des processus d’onboarding scalables est désormais un impératif stratégique, en particulier avec le déploiement imminent du portefeuille d’identité numérique européen (EUDIWallet).
État actuel du KYC dans les secteurs régulés
1. AMLR et AMLD6
Le Règlement sur la lutte contre le blanchiment de capitaux et le financement du terrorisme (AMLR, UE 2024/1624) renforce l’approche basée sur le risque pour les entités assujetties dans toute l’Union européenne. Il sera pleinement applicable à partir de juillet 2027, laissant un temps de préparation. Son objectif est d’harmoniser les exigences de diligence raisonnable des clients entre États membres, permettant aux banques, prestataires de paiement, assureurs et entreprises de crypto-actifs de s’appuyer sur un socle commun.
Notamment, l’AMLR reconnaît explicitement le rôle des Qualified Trust Service Providers (QTSPs), créant un pont important avec le cadre eIDAS que nous aborderons plus loin. En tant que QTSP de premier plan, Namirial est continuellement tenue de mettre à jour ses services pour répondre aux besoins des clients du secteur financier.
Il est également important de noter la création récente de l’Autorité Anti-Blanchiment (AMLA), en cours de constitution de son personnel, qui supervisera la conformité au niveau européen conformément au mandat défini par l’AMLR et l’AMLA.
La Sixième Directive Anti-Blanchiment (AMLD6) complète l’AMLR en élargissant la responsabilité pénale et en comblant les lacunes des transpositions nationales. Ces deux cadres élèvent le niveau des processus KYC, nécessitant des infrastructures robustes pour l’identification, la surveillance et le reporting.
2. PSD3 et PSR
La Directive sur les services de paiement 3 (PSD3) et le Règlement sur les services de paiement (PSR) visent à moderniser la supervision des paiements et à renforcer l’harmonisation. Ils devraient s’appliquer à partir de 2026, transformant la manière dont les prestataires de services de paiement (PSP) organisent leurs contrôles KYC et de prévention contre la fraude. Ces instruments renforcent les obligations de vérification d’identité, de prévention des prises de contrôle de comptes et d’alignement sur l’AMLR.
3. MiCAR
Le Règlement sur les marchés de crypto-actifs (MiCAR) est entré en vigueur en juin 2023, avec une application progressive. Depuis décembre 2024, les règles pour les stablecoins (EMT et ART) sont pleinement opérationnelles, tandis que les obligations générales pour les prestataires de services sur crypto-actifs s’appliquent à partir de juin 2026. MiCAR impose des processus KYC équivalents à ceux de l’AMLR et PSD3/PSR, établissant un cadre intégré pour les actifs numériques.
Le rôle de l’eIDAS 2.0 et du portefeuille d’identité numérique européen
D’eIDAS à eIDAS 2.0
Le Règlement eIDAS (2014) a jeté les bases de la confiance transfrontalière dans l’identification électronique. La mise à jour eIDAS 2.0 (UE 2024/1183) est entrée en vigueur en mai 2024, introduisant le portefeuille d’identité numérique européen (EUDIWallet) comme facilitateur central d’une identité numérique sécurisée et interopérable dans l’UE.
Dates clés et Article 5f
Selon l’Article 5f, les États membres et les grands acteurs privés des secteurs régulés devront accepter le portefeuille d’identité numérique européen (EUDIWallet) pour l’authentification forte au plus tard le 24 décembre 2027. Cette disposition couvre des domaines tels que la banque, les services financiers, l’énergie, le transport et les télécommunications. De plus, les États membres doivent garantir la mise à disposition d’au moins un portefeuille par pays pour tous les citoyens d’ici décembre 2026.
Ces échéances représentent des jalons critiques pour un déploiement universel, accompagnés d’étapes intermédiaires comme l’adoption des actes d’exécution (déjà en cours depuis novembre 2024) et la préparation nationale pour la certification et les cadres de supervision.
Confidentialité et contrôle utilisateur
Le portefeuille est conçu selon les principes de privacy-by-design, garantissant la minimisation des données, la transparence et le contrôle par l’utilisateur. Grâce aux Qualified Electronic Attestations of Attributes (Attestations électroniques qualifiées d’attributs – QEAA), l’EUDIWallet simplifie l’onboarding tout en restant conforme au RGPD et autres obligations de confidentialité.
Interaction entre les réglementations
Comprendre la complexité
Il est utile de saisir les interrelations entre ces différentes réglementations et leurs actes délégués ou d’exécution. Le nombre de règles et standards superposés est considérable : eIDAS seul prévoit 36 actes d’exécution faisant référence à plus de 70 standards techniques, tandis que l’AMLR sera accompagné de ses propres actes délégués. Cette complexité croissante rend encore plus crucial de concevoir des approches intégrées pour le KYC et l’onboarding.
1. eIDAS 2.0 + AMLR/AMLD6
Une comparaison utile se fait entre l’Article 24 d’eIDAS et l’Article 22 de l’AMLR. L’Article 24 définit les exigences pour les prestataires d’identification électronique et de services de confiance, établissant un cadre pour les processus de vérification d’identité, en se référant au standard ETSI 119 461 pour les différents scénarios.
Parallèlement, l’Article 22 de l’AMLR définit les obligations de diligence envers les clients, précisant les conditions pour l’identification et la vérification. Ensemble, ces dispositions montrent la complémentarité des services de confiance (intégrité et fiabilité des identités et signatures) et des obligations LCB (prévention du blanchiment et financement du terrorisme).
L’intégration d’une identité numérique de confiance avec les cadres LCB offre des opportunités pour fluidifier l’onboarding tout en renforçant la conformité. L’utilisation des identifiants EUDIWallet permet de réduire les frictions tout en assurant l’uniformité des standards entre juridictions.
2. PSD3/PSR + AMLR/AMLD6
Les institutions de paiement doivent intégrer un KYC basé sur le risque (AMLR) et interopérable techniquement (PSD3/PSR). La convergence nécessite des plateformes d’onboarding scalables et flexibles, capables de s’adapter aux chevauchements réglementaires avec des processus différenciés selon le niveau de risque évalué.
3. MiCAR + PSD3/PSR
À mesure que les crypto et paiements convergent, un onboarding unifié sera essentiel. Les exigences de MiCAR pour l’identification client reflètent celles de PSD3/PSR, signalant une harmonisation intersectorielle.
4. eIDAS 2.0 + PSD3/MiCAR
Le EUDIWallet peut agir comme ancre de confiance unique dans les services financiers, permettant la conformité à la fois pour les écosystèmes fiat et crypto.
Concevoir un onboarding scalable
Pourquoi des architectures scalables ?
Les institutions font face à des exigences réglementaires hétérogènes et à des profils de risque client variés. Il est donc crucial de déployer des architectures KYC scalables et flexibles, permettant des parcours différenciés selon le risque tout en respectant le principe de proportionnalité de l’AMLR et les niveaux de confiance eIDAS. En adaptant les processus au volume des transactions et aux catégories clients, les organisations peuvent atteindre la conformité sans sacrifier l’efficacité ni l’expérience utilisateur.
Principes clés
- Standardisation : tirer parti de l’EUDIWallet et des services de confiance qualifiés
- Flexibilité basée sur le risque : alignement avec l’approche proportionnelle de l’AMLR
- Interopérabilité intersectorielle : compatibilité entre compatibilité entre États membres et portefeuilles
- Orientation utilisateur : minimiser les frictions tout en assurant la conformité
Avantages stratégiques
- Efficacité : processus automatisés et scalables réduisent les coûts
- Résilience en matière de conformité : plateformes agiles face aux évolutions des règles
- Scalabilité transfrontalière : l’interopérabilité facilite l’expansion
- Confiance client : expériences sécurisées et fluides renforcent l’adoption
Conclusion
Le paysage réglementaire converge vers un cadre harmonisé pour le KYC. Avec l’AMLR applicable à partir de juillet 2027, l’eIDAS 2.0 imposant le déploiement universel du portefeuille d’ici décembre 2026 et son adoption obligatoire pour les services financiers d’ici décembre 2027, et PSD3, PSR et MiCAR s’appliquant à partir de 2026, les institutions font face à des défis de conformité mais aussi à des opportunités de transformation.
Chez Namirial, nous croyons que le portefeuille d’identité numérique européen, combiné à des solutions d’onboarding scalables, sera la pierre angulaire de services financiers conformes, efficaces et centrés sur l’utilisateur pour la prochaine décennie. C’est pourquoi nous avons développé notre propre plateforme KYC et d’onboarding, reconnue par les analystes comme “Leader des plateformes KYC pour les services financiers”.