• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Services bancaires > Banque au quotidien > Comment Lydia, Kard, Pixpay et consorts se sont adaptés à de nouvelles obligations de KYC

Comment Lydia, Kard, Pixpay et consorts se sont adaptés à de nouvelles obligations de KYC

À la demande de certaines fintech, Lydia en tête, un décret publié en février 2023 a encadré leurs obligations de vérification d’identité des clients (KYC). Si certains saluent un texte qui aura permis à des start-up de rentrer dans les rangs de la conformité, Lydia regrette l’obligation de KYC systématique au bout de douze mois, qui la force à fermer une grande quantité de comptes d’utilisateurs.

Par Aude Fredouelle. Publié le 05 mars 2024 à 10h37 - Mis à jour le 06 mars 2024 à 18h31
KYC
  • Ressources
Les points clés
Les acteurs du paiement P2P français ne pouvaient normalement pas bénéficier d’une dérogation de KYC en cas de risques faibles de blanchiment ou financement du terrorisme jusqu’en 2023, car la règlementation ne concernait que les achats de biens ou services de consommation. Une situation créant une distorsion de concurrence avec les acteurs étrangers.
Un décret publié en février 2023 a corrigé ce manquement, en précisant les conditions de dérogation de KYC pour les acteurs du P2P. Ce texte inclut cependant une obligation de réalisation de la vérification d’identité au bout de douze mois.
Lydia a dû lancer un grand plan de remédiation pour réaliser le KYC de toute sa base de clients afin de se mettre en conformité.

En février 2023, la création d’un nouveau décret relatif au code monétaire et financier vient encadrer les obligations de vérification d’identité (KYC) pour les émetteurs de monnaie électronique réalisant des opérations de pair-à-pair (peer-to-peer ou P2P). Le texte met en place des dérogations de KYC sous certaines conditions, mais impose que la vérification soit de toute façon effectuée dans les douze mois après l’ouverture du compte de monnaie électronique par l’utilisateur. 

Ce décret est en fait le fruit de plus d’un an de négociations entre certaines fintech, Lydia en tête, l’ACPR et la direction générale du Trésor. Car jusque-là, l’article R561-16-1 décrivant les obligations des établissements de monnaie électronique en cas de faible risque de blanchiment et permettant de ne pas réaliser le KYC sous certaines conditions précise que “la monnaie électronique est émise en vue de la seule acquisition de biens ou de services de consommation”. Autrement dit : ce texte, qui s’applique notamment aux chèques et cartes cadeaux (de l’argent électronique permettant de payer auprès d’un réseau d’accepteurs très limité) “excluait complètement les transactions peer-to-peer”, explique Alison Alonso, directrice de la conformité chez Okali depuis juin 2023, et ex-directrice conformité et contrôle interne et DPO de Lydia, de 2018 à 2023. De fait, la dérogation de KYC excluait ainsi les services comme ceux proposés par Lydia, Pumpkin (depuis fermé), Lyf, mais aussi les néobanques pour ados comme Kard ou Pixpay. Toutes ces fintech auraient donc normalement dû réaliser l’authentification du client dès son inscription. 

“Le problème, c’est que cette obligation du KYC dès l’inscription pour ces fintech était très française, et que les concurrents étrangers, notamment ceux agréés au Luxembourg par exemple, ne se voyaient pas imposer cette exigence. De quoi créer une distorsion de concurrence à l’international”, regrette Alison Alonso. Parmi ces acteurs agréés au Luxembourg, PayPal par exemple. Résultat : pendant des années, la plupart des fintech concernées n’ont pas respecté les obligations de KYC et ont appliqué la dérogation, même si elle ne concernait normalement pas leurs services. Et ceci, dans un accord tacite avec l’ACPR, consciente de la distorsion de concurrence engendrée par la réglementation. C’est le cas de Lydia, s’appuyant alors sur la plateforme de Banking-as-a-Service Treezor, et d’autres acteurs du P2P ayant disparu, comme Pumpkin par exemple, mais aussi de néobanques pour ados, pour le KYC des parents de leurs utilisateurs.

Limiter les risques avec l’analyse des transactions

“Les règles de seuil fixées pour bénéficier de la dérogation limitent énormément les risques, assure Alison Alonso. Sans compter que les fintech ont une vision bien plus globale du profil client que celle offerte par le KYC, en vérifiant que c’est la première fois que le téléphone est utilisé pour créer un compte, qu’il n’y a pas déjà de compte avec ce numéro, en surveillant les transactions… D’ailleurs il y a tout intérêt à ne pas tout miser sur le KYC, qui peut être fragile à distance, et à surveiller tout un ensemble de données.” Pour elle, “ces fintech innovent avec de nouveaux services, donc il faut aussi innover en termes de compliance et travailler avec le régulateur pour faire évoluer les textes.”

Pour les fournisseurs concernés par l’ancien décret, la dérogation illimitée dans le temps reste possible

Pour les services déjà englobés par l’article initial, permettant  “la seule acquisition de biens ou de services de consommation”, l’ancien décret reste applicable. Dans ce cas, la dérogation de KYC s’applique tout d’abord à une limite de montant stocké : 250 euros, jusqu’à 2015, puis 150 euros. “Cet abaissement a été introduit par la directive européenne AML 4 et transposé par la France en amont de l’obligation qui lui était applicable car les attentats de 2015 avaient notamment été financés via des établissements de monnaie électronique”, rappelle Charlotte Gaudin, CEO d’AML Factory, plateforme d’aide à la mise en conformité AML. Les utilisateurs ne doivent pas non plus dépasser 150 euros de paiement par période de trente jours et la monnaie électronique ne doit être utilisée que pour des paiements sur le territoire national. Autre condition à la dérogation : le client ne doit pas détenir plusieurs supports de monnaie électronique chez l’EME. Enfin, “il est toujours prévu que la dérogation s’applique sous réserve qu’il n’existe pas de soupçon de blanchiment ou de financement du terrorisme, ce qui suppose des vérifications”, ajoute Charlotte Gaudin. 

Par contre, ce texte n’inclut pas d’obligation de KYC systématique au bout de douze mois, contrairement à la version concernant les acteurs comme Lydia. Les EME concernés peuvent donc continuer à se passer de KYC indéfiniment si les conditions restent respectées. “C’est par exemple le cas de la solution de paiement pour les restaurants universitaires Izly, qui s’appuie sur Xpollens, note Jean Guillaume, CEO de la plateforme de Banking-as-a-Service du groupe BPCE. Celle-ci compte 1,4 million d’utilisateurs actifs. Pour autant, le dirigeant se dit persuadé que le futur est à “des KYC avec un niveau d’UX de plus en plus satisfaisant pour les utilisateurs, notamment grâce à l’arrivée des solutions d’identité numérique. Le sens de l’histoire, c’est qu’il y ait du KYC partout mais qu’il soit devenu très simple à réaliser.” Une tendance poussée par les régulateurs à l’heure où plusieurs plateformes de BaaS ont été mises en cause – Solaris, dont les onboardings de nouveaux clients directs ont été stoppés par la BaFin, Railsr, qui s’est vu révoquer sa licence lituanienne pour violation des réglementations AML ; Modulr, dont la FCA a aussi stoppé le développement commercial…

Vérification au plus tard douze mois après la date d’émission

Le nouveau décret, publié en février 2023, découle donc d’une demande des acteurs qui, comme Lydia, ne pouvaient normalement bénéficier de la dérogation de KYC. Cette fois, sont notamment concernés les instruments de monnaie électronique qui permettent de réaliser des achats de biens ou services de consommation mais aussi d’émettre et de recevoir “des transferts de fonds au bénéfice d’une personne détenant un instrument de monnaie électronique émis par le même émetteur” (autrement dit, des opérations de P2P au sein du même PSP).

L’article soumet une nouvelle fois la dérogation à plusieurs conditions : limites de montants (150 euros sur 30 jours, ensemble de chargements de plus de 1 000 euros, paiement unitaire de plus de 50 euros…), pas d’autres comptes ou cartes, chargement par un moyen de paiement émis par une institution financière régulée, P2P au sein d’un même EME uniquement… Mais contrairement à l’autre décret, il introduit une nouvelle spécificité : même si toutes les règles précédentes sont remplies, “il est procédé à la vérification mentionnée au plus tard douze mois après la date de l’émission de l’instrument de monnaie électronique”. Nouvelle contrainte, donc, pour des acteurs qui conservaient parfois des utilisateurs ponctuels pendant des années sans réaliser leur KYC. 

Fermeture de nombreux comptes chez Lydia

Chez Lydia, cette règle est mal perçue. Si l’ACPR a accepté de ne pas appliquer le décret de manière rétroactive et de laisser douze mois à partir de la publication du décret aux fintech pour réaliser le KYC de leurs utilisateurs, même pour ceux possédant déjà un compte depuis des années, la mise en conformité a eu un impact énorme sur le nombre d’utilisateurs de la start-up, assure son CEO Cyril Chiche. C’est elle qui a dû gérer le sujet en propre, puisqu’elle a migré à la même période sur son propre agrément (quittant ainsi la plateforme de Banking-as-a-Service Treezor, dont elle était jusque-là agent). “Cela a représenté un coût énorme”, regrette le dirigeant – un projet intégré dans celui, plus large, de migration des IBAN et des cartes des clients vers l’agrément et le core banking de la société.

La start-up a communiqué régulièrement auprès de ses clients pour les pousser à réaliser leur KYC, mais beaucoup, qui n’utilisaient l’application que de manière ponctuelle, ne l’ont pas réalisé et ont vu leur compte supprimé. Le nombre d’utilisateurs revendiqué par Lydia (7,3 millions en mars 2023) devrait donc chuter drastiquement. Les utilisateurs occasionnels supprimés n’étaient cependant sans doute pas des clients rentables pour la start-up, vus les seuils d’obligation de KYC. 

Payantes, les néobanques pour ados sont davantage épargnées

Lyf, l’application de paiement de BNP Paribas et du Crédit Mutuel, a probablement dû faire face aux mêmes difficultés que Lydia. Pour les néobanques pour ados, concernées également, la mise en conformité n’a par contre pas été compliquée. Pixpay et Kard sont toutes deux payantes (dans le cas de Kard, lancé sur un modèle gratuit mi-2019, le pivot vers un abonnement payant a été effectué en septembre 2020) et les clients sont donc en grande majorité actifs. “Près de 85 % des familles effectuent de toute façon le KYC directement lors de l’onboarding, et le taux monte à 90 ou 95 % dans les deux semaines qui suivent, lorsqu’ils reçoivent la carte, explique Scott Gordon, CEO de Kard. De toute façon, nous poussons énormément en ce sens, car lorsque le KYC n’est pas réalisé, cela pose souvent des problèmes qui encombrent le service client, lorsque l’ado veut réaliser un retrait ou un paiement qui dépasse les limites de la dérogation et ne parvient pas à le faire.” Selon lui, la transition s’est donc faite de manière très fluide au sein de la néobanque, et elle sera complètement finalisée d’ici avril 2024.

Le délai de dérogation ramené à 30 jours par l’Union européenne

“Ce texte est tout de même un succès, car il a permis à des acteurs qui n’étaient pas conformes de se mettre en conformité et à l’ACPR de prendre conscience de l’évolution des pratiques, notamment en termes de lutte contre la fraude. Pendant les négociations, il a en effet fallu prouver qu’il était possible de détecter la fraude par d’autres moyens que le KYC”, assure de son côté Alison Alonso, d’Okali. 

Le décret sera de toute façon “écrasé par le paquet européen  qui sortira dans quelques années et s’appliquera dans tous les États membres”, ajoute-t-elle. L’exemption de vérification KYC devrait encore exister… mais dans un délai encore plus court de 30 jours : “dans le projet de règlement européen sur la LCB-FT, il est effectivement précisé que les entités assujetties (donc les PSP mais aussi les banques) pourront reporter la vérification de l’identité du client de 30 jours maximum après l’ouverture du compte en cas de risque faible de blanchiment de capitaux et financement du terrorisme”, conclut la directrice conformité (voir page 64 du projet de texte).

Aude Fredouelle
  • conformité
  • KYC
  • paiement entre particuliers
  • régulation

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Signaturit, propriétaire d'Universign, s’offre Vialink
Plaid Identity Verification

Acteur historique de l'open banking, Plaid accélère dans la vérification d'identité
Fingerprint Smartphone
Start-up à la loupe

Comment Archipels s’appuie sur la blockchain pour répondre aux enjeux de l’identité numérique

Comment Conformitee aide les banques à gérer le KYC des entreprises
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025