Le KYC des entreprises, un casse-tête pour les banquiers

Le KYC (Know Your Customer, ou connaissance client) des entreprises (ou KYB, Know Your Business) est un casse-tête pour les établissements financiers. Ceux-ci doivent rassembler un certain nombre de justificatifs et d’informations sur l’entreprise en question lors de l’entrée en relation (onboarding) mais aussi tout au long de la relation bancaire, pour tenir à jour ces informations. Le processus est coûteux, souvent encore très manuel, et prend du temps aux agents chargés du KYC. Il est aussi souvent jugé intrusif par les clients et complique la relation client ; et il représente un risque réglementaire s’il n’est pas bien réalisé.

Le KYC des entreprises (PME, ETI, corporates et établissements financiers) est bien plus complexe que celui des particuliers. D’abord, car le périmètre est souvent international. “Nous opérons dans 25 juridictions et chacune a sa propre définition du KYC, de ce qui fait preuve, des exigences d’actualisation des documents…, explique par exemple Thomas Carton, responsable du cycle de vie des clients et de la gestion des données chez Crédit Agricole CIB (CACIB). Nos clients sont souvent présents dans plusieurs pays et les exigences de KYC sont parfois différentes selon le pays.”

Ensuite, la réglementation s’est durcie ces dernières années. “Les troisième, quatrième et cinquième directives européennes LCB-FT [contre le blanchiment des capitaux et le financement du terrorisme, publiées en 2005, 2015 et 2018, ndlr] ont imposé de demander de plus en plus d’informations sur nos clients, bien au-delà de la connaissance traditionnelle que l’on avait jusqu’alors et au-delà des informations génériques sur la personne morale“, ajoute Thomas Carton. Des réglementations équivalentes ont aussi vu le jour en Asie et aux Etats-Unis. 

Par exemple, la cinquième directive, transposée en février 2020, rend obligatoire la constitution de registre des UBO [bénéficiaire effectif, ndlr]. “C’est extrêmement compliqué car il faut déjà réussir à définir qui est l’UBO, qui est une personne physique, commente Thomas Carton. Dans des grosses sociétés avec des structures actionnariales en cascade, présentes dans plusieurs pays, cela peut être très compliqué. Ensuite, cela pose une difficulté relationnelle, car nous devons demander énormément d’informations et documents personnels à ces UBO.” 

Cela fait partie des difficultés : savoir jusqu’où aller dans le KYC. Demander trop de documents, et paraître intrusif aux yeux du client. Ou demander moins, et risquer l’amende. En juin 2020, Commerzbank a ainsi écopé d’une amende de plus de 37 millions de livres, imposée par la FCA pour des manquements entre 2012 et 2017 liés aux réglementations anti-blanchiment.

Transformation interne

Premier axe d’amélioration : s’engager dans des chantiers de transformation interne du KYC. D’abord, parfois, pour mutualiser les processus jusqu’ici indépendants dans chaque filiale. “Nous avons accompagné de grands groupes bancaires disposant de plusieurs filiales et de process KYC multiples, qui se sont engagés dans des chantiers de rationalisation et de construction d’une “usine à KYC”, commente Julien Maldonato, partner industrie financière chez Deloitte. Certains – des établissements de petite et moyenne taille, souvent d’origine étrangère, choisissent même d’externaliser le processus à un tiers comme Deloitte.” Chez CACIB, un seul système KYC mondial centralise les dossiers des personnes morales et personnes physiques qui y sont rattachées, ce qui facilite l’analyse mais aussi le déploiement d’outils innovants. Pour autant, il n’est pas commun avec les autres entités du groupe Crédit Agricole.   

Au sein de CACIB, un travail de rapprochement des systèmes KYC et CRM est aussi en cours. “Certaines données comme l’exposition géographique renseignée dans le dossier KYC peuvent nous donner des opportunités commerciales, commente Thomas Carton. Et à l’inverse, une discussion commerciale peut déclencher une recherche en conformité.” Depuis un an et demi, les banquiers peuvent visualiser dans le même tableau de bord les données CRM et KYC, analysées via Microsoft Power BI. “Cela répond aussi à un enjeu d’appropriation par les banquiers du sujet KYC, purement administratif et souvent perçu comme fastidieux. Ils peuvent visualiser les informations manquantes, les documents à renouveler, etc.”.

Ensuite, les banques se saisissent de nouveaux outils et technologies pour automatiser une partie des processus et diminuer les coûts de complétion et d’analyse des dossiers. Chez CACIB, un outil numérique a été créé en collaboration avec Crédit Agricole SA pour l’aide à la constitution du dossier client et déployé fin 2020. “Selon le profil du client ou encore les pays dans lesquels nous serons en relation, le système produit la liste des documents et des données à collecter auprès de lui”, raconte Thomas Carton. Cet outil est basé sur une quinzaine de textes de gouvernance internes de 80 à 150 pages rédigés par les équipes de sécurité financière, qui listent les exigences réglementaires à partir de l’interprétation des textes de lois. “Nous avons construit des algorithmes décisionnels à partir de ces documents.” Actuellement, l’outil aide les chargés d’affaires à constituer le dossier mais “à terme, nous pourrions imaginer ajouter une section KYC au portail client pour l’informer de ce que l’on va lui demander”. 

Des fournisseurs de solutions proposent aussi des plateformes pour faciliter les processus. Bpifrance a ainsi fait appel à Flaminem il y a quelques années. La banque publique d’investissement a co-construit un outil interne pour le scoring, l’identification des bénéficiaires effectifs et sa représentation sous forme d’arborescence, l’e-réputation automatique via API avec un fournisseur de données, le scoring de risque et la détermination des informations requises qui en découle, le workflow de validation et la centralisation des documents. “Cet outil permet de guider nos centaines de chargés d’affaires, et de les aider à réaliser des dossiers KYC les plus conformes possibles”, se félicite Julien Belhassen, digital compliance officer chez Bpifrance.

Flaminem, qui compte aussi des sociétés de gestion d’actifs parmi ses clients, revendique améliorer jusqu’à 80 % la productivité de ses clients pour l’analyse de l’actionnariat et des bénéficiaires effectifs. “Nous calculons aussi le risque en temps réel, ce qui est primordial, car cela impacte les documents à collecter, raconte Antoine Rizk, CEO. Par exemple, Bpifrance collectait systématiquement le justificatif de domicile de ses clients, ce qui représentait environ 50 000 documents. Nous avons paramétré notre outil pour qu’il ne soit demandé que si le score de risque dépasse un certain seuil et nous avons évité la collecte de 40 000 justificatifs de domicile par an.”

D’autres acteurs se positionnent sur le créneau, comme Chekk ou AML Factory par exemple. Vialink, filiale de la BRED qui propose un logiciel pour détecter les dossiers frauduleux en contrôlant la validité des pièces, leur cohérence et la complétude du dossier  puis en se connectant à des bases de données externes comme Infogreffe et le BODACC (lire notre interview de Philippe Sanchis, directeur général). Harmoney commercialise aussi une plateforme qui permet l’identification et connaissance des personnes physiques et morales, la récolte des documents, la définition du parcours client et des workflows internes, le partage de l’information avec tous les contributeurs (client, gestion, commercial et compliance) et la gestion des risques réglementaires (alertes avec un score de pertinence, mise à jour du KYC, reporting…). Parmi ses clients : AG2R La Mondiale, Swiss Life, le département leasing de Société Générale, La Bâloise…

IA : analyse sémantique et authentification de documents

L’automatisation de la collecte de données et de documents est aussi un enjeu pour les établissements financiers. “Il n’y a pas encore de leader français de l’identité entreprise, et il faut souvent construire sa propre base à partir de plusieurs sources”, assure Julien Maldonato, de Deloitte. Pour les données publiques, Infogreffe a par exemple lancé un nouveau portail, baptisé KYC Infogreffe, permettant aux établissements assujettis aux obligations LCB-FT (banques, établissements de crédits, notaires, compagnies d’assurance, huissiers, administrateurs de justice…) d’accéder aux données des tribunaux de commerce. “Ce portail permet la mise sous surveillance d’entités avec l’envoi d’alertes, pour gérer le risque par rapport à des critères identifiés en amont, détaille Dieudonné Mpouki, président d’Infogreffe, à mind Fintech. Cela sera notamment utile aux banques qui n’ont pas l’infrastructure suffisante pour mettre en place un système de surveillance automatisé et qui nous envoient une fois par an des milliers de SIREN à vérifier pour remplir leur obligation de remédiation.”

Les outils basés sur des techniques d’IA commencent aussi à être utilisés. Crédit Agricole CIB a ainsi développé avec IBM Watson une solution permettant de lire les rapports annuels. “L’objectif initial était d’automatiser l’analyse des lieux géographiques où est présente la société, des entités juridiques et du type d’activité puis de créer des relations entre ces données pour savoir quelle entité est présente sur quelle activité dans tel pays, car nous avons besoin de le savoir dans le cadre du KYC”, explique Thomas Carton. Mais la tâche s’est avérée trop complexe pour une totale automatisation. “Nous ne pouvons pas en faire une solution automatisée pour les banquiers mais c’est un outil d’assistance pour des contrôleurs de conformité ou des inspecteurs, qui peut leur donner des pistes”. 

La filiale ne s’est d’ailleurs pas arrêtée à cet outil. Elle a aussi développé un outil d’analyse sémantique qui étudie des articles de presse à partir de flux RSS sur un client donné, pour capter des signaux faibles à des fins de KYC ou d’opportunités commerciales. Enfin, un programme de robotisation a été développé par Crédit Agricole CIB pour analyser les documents provenant de fournisseurs de données, comme les listes de personnes suspectées de lien avec des pays sous sanctions par exemple. “Les documents sont analysés et les informations sont extraites et intégrées directement dans nos systèmes KYC”, souligne Thomas Carton.

Comme pour les particuliers, des technologies comme IDnow et Onfido sont aussi utilisées pour l’authentification des documents d’identité. “Mais les grandes banques ont encore du mal à franchir le pas du recours à une start-up”, souligne Julien Maldonato. 

Plateformes interbancaires

Outre la transformation en interne, les établissements financiers misent sur une plus forte mutualisation interbancaires des informations KYC. L’enjeu : éviter aux clients (PME, corporates ou établissements financiers) multibancarisés de devoir répondre aux demandes d’informations et de documents de chacune de leur banque, et ainsi améliorer l’expérience client, mais aussi faciliter la collecte du côté des établissements financiers gérant le KYC. 

Plusieurs initiatives ont déjà vu le jour ou sont en cours d’élaboration. La plus aboutie : Swift KYC Registry. La plateforme a d’abord été lancée en 2015 pour faciliter les processus KYC entre les banques (correspondant banking). Puis, fin 2019, elle a été ouverte aux corporates connectés sur Swift, parmi lesquels BMW, Spotify et Unilever. Concrètement, les corporates ou banques intègrent leurs informations et documents à la plateforme puis les établissements financiers devant réaliser le KYC leur envoie une demande d’accès pour y accéder. “On passe de plusieurs mois pour réaliser un KYC à plusieurs jours, et cela nous permet aussi de structurer la donnée”, assure Thomas Carton, de CACIB, l’une des 16 banques sponsors du projet. 

Swift revendique près de 2 300 groupes bancaires composés de 6 000 entités légales sur le registre banques et 130 groupes corporates représentant 550 entités légales sur le registre corporates.  Même si davantage de corporates choisissent de la rejoindre, la plateforme n’est pour l’instant ouverte qu’aux 1 500 corporates connectés sur Swift. “Nous avons une forte demande de la part des banques pour ouvrir au-delà de la communauté Swift, mais nous voulons déjà mesurer l’appétit du marché et étudier ce qui sera nécessaire en termes techniques pour ouvrir la plateforme aux entreprises non connectées à Swift, avant de prendre une décision mi-2021”, dévoile Delphine Masquelier, chef de projet des services KYC chez Swift. En 2021, Swift va déjà aussi ouvrir la plateforme aux “non bank financial institutions” de son réseau (assurances, asset managers). 

En parallèle, une initiative poussée par Société Générale a vu le jour : Clipeum, une plateforme basée sur une technologie de registre distribué (DLT) visant à mutualiser certains aspects du KYC des entreprises. La start-up interne de Société Générale avait annoncé en mars 2019 avoir rallié UniCredit, Commerzbank, Crédit Agricole, Natixis, Tikehau Capital, Euler Hermes et Allianz, Bpifrance, la Banque Postale. Avec pour objectif, après avoir réalisé un PoC fin 2018 avec R3 sur la technologie Corda, de créer une structure avant fin 2019 et de commencer à traiter des documents en 2020.

Mais Clipeum n’a pas encore vu le jour : trouver un accord entre les institutions financières pour financer et créer l’entité juridique serait difficile à trouver.  “Les projets de place se compliquent souvent au moment de passer à leur mise en œuvre et de prendre les décisions liées aux investissements et au futur partage de valeur”, remarque Julien Maldonato, de Deloitte. 

Autre initiative : celle de la start-up Conformitee. Bpifrance et Arkéa ont accepté de réaliser un pilote avec la société il y a trois ans et demi, puis ont été rejoints il y a un an et demi par le Crédit Agricole. “Le projet avance bien car il est porté par Conformitee, qui est indépendante et autonome, tandis que les banques l’aident à mettre en place le cahier des charges et utilisent la plateforme”, analyse Julien Belhassen, de Bpifrance. La phase de pilote vient de se terminer. “Nous avons validé, chez Bpifrance, que la solution répond bien à nos attentes et convient aux chargés d’affaires, et nous allons donc la déployer au niveau national”, dévoile le chief compliance officer. Bpifrance a onboardé entre 100 et 200 clients sur la plateforme. Contrairement à Swift, Conformitee vise tous types d’entreprises françaises, cotées et non cotées.

“Les banques s’accordent sur le fait qu’une seule solution ne fera pas l’unanimité, même si à l’extrême inverse trop de solutions en parallèle réduiront l’efficience, assure Delphine Masquelier. Il faudra étudier l’interopérabilité du Swift Registry avec d’autres solutions, à terme. Nous voulons proposer une plateforme globale, quelle que soit la géographie et la juridiction, mais nous savons que sur certaines juridictions les demandes sont très spécifiques, donc des partenariats pourraient y répondre. Par exemple, avec une solution ciblée géographiquement comme Invidem sur le marché nordique.” 

Harmonisation des exigences

Avant tout, les banques travaillent sur une harmonisation de leurs exigences KYC. Car chacune, en interne, interprète la réglementation pour déterminer les informations à demander au client. “Nous devons trouver l’équilibre entre le nécessaire et le superflu, et ce dans toute la diversité des pays, des clients et des situations”, souligne Romaric Rollet, responsable de l’innovation et de la transformation digitale chez CACIB. 

Chez Swift, des standards ont été élaborés. “Au travers de différents groupes de travail composés de banques et de corporates, nous travaillons avec la communauté pour définir une baseline, c’est-à-dire un standard de KYC, composé de données et de documents type à renseigner”, explique Delphine Masquelier. Le standard pour le correspondant banking, élaboré depuis 2015, est plus étoffé et couvre aujourd’hui 90% des besoins KYC, tandis que la version 1.2 pour les corporates couvre 70 à 80% des besoins. Le reste doit être récupéré en direct par la banque. “Un dossier KYC peut contenir jusqu’à 400 données et documents pour un corporate et 700 pour une banque”, indique Thomas Carton, de CACIB. 

“Les corporates questionnent le besoin de collecter certaines informations de la part de la banque et il ne faut pas aller trop loin dans la baseline au départ pour ne pas se heurter à des réticences”, précise Delphine Masquelier. Les banques évoquent en effet un bras de fer avec leurs clients entreprises, qui questionnent la nécessité de collecter certaines données. “Certains champs sont donc obligatoires, d’autres recommandés, et d’autres optionnels, poursuit Delphine Masquelier. Nous voulons que le standard soit le plus flexible possible tout en étant adapté à toute juridiction, industrie et type d’entreprise. L’enjeu est de trouver le minimum obligatoire : récupérer assez d’informations pour une entité cotée (dont beaucoup d’informations sont publiques) mais aussi pour une entité plus risquée avec peu d’informations disponibles publiquement.”

Du côté de Conformitee, les premières banques utilisatrices (Bpifrance, Arkéa et le Crédit Agricole SA) ont aussi travaillé à une harmonisation. “Nous avons défini un tronc commun, une liste de données à demander selon le profil de l’entreprise ou de l’association”, confirme Julien Belhassen.

Pousser les corporates à contribuer

Reste à convaincre les entreprises de s’onboarder et de renseigner leurs informations. Les chargés d’affaires des banques utilisatrices de Conformitee doivent ainsi proposer à leurs entreprises clientes de se rendre sur la plateforme pour faire leur KYC. Et Conformitee aide alors le client à le faire avec des chargés d’affaires dédiés. “Les retours sont très positifs, car les clients multibancarisés comprennent la démarche et la valeur de la plateforme”, assure Julien Belhassen, de Bpifrance.

Du côté du Swift Registry, la moitié des corporates déjà inscrits sur la plateforme (550 entités légales) contribuent aux informations activement (contre deux tiers sur le Registry interbancaire). “C’est un processus qui peut prendre du temps à l’entreprise donc elles priorisent les entités en fonction des demandes des banques”, explique Delphine Masquelier. La plupart s’en tiennent aux champs obligatoires, car Swift compte surtout des corporates côtés dont beaucoup d ‘informations sont publiques. “Parfois, même pour remplir les champs obligatoires, il y a débat, ajoute la chef de projet. Par exemple, les corporates demandent pourquoi ils devraient remplir de nouveau des informations disponibles publiquement. Nos équipes pré-remplissent donc les informations publiques sur la plateforme pour faciliter l’onboarding.” Swift compte avant tout sur ses seize banques sponsors, parmi lesquelles les françaises BNP Paribas, Société Générale et Crédit Agricole, pour promouvoir l’outil auprès de leurs clients. “Nous devons déployer des efforts de pédagogie pour expliquer à nos clients corporates les raisons pour lesquelles il est nécessaire de réaliser le KYC et d’intégrer leurs données à la plateforme”, reconnaît Thomas Carton.