Guide des protocoles de vérification d'identité : Tout ce dont les entreprises ont besoin

Dans l'évaluation mondiale des menaces de fraude financière d'InterPol, les pertes mondiales liées à la fraude financière ont été estimées à 442 milliards de dollars américains.  Pour les équipes de conformité et de gestion des risques des secteurs réglementés, ce chiffre soulève une question directe : les protocoles de vérification d’identité actuellement en place sont-ils adaptés à la menace, ou s’agit-il d’un ensemble de méthodes sans lien clair avec le risque ?

Ce guide présente les trois principaux cadres de protocoles utilisés par les entreprises, leurs exigences respectives et explique comment mettre en place une approche fondée sur les risques et résistante aux exigences réglementaires. Si votre équipe travaille sur la norme NIST 800-63, les exigences de diligence raisonnable renforcée du GAFI ou le calendrier de préparation à eIDAS 2.0, ce guide constitue un point de départ pratique.

Qu'est-ce qu'un protocole de vérification d'identité ?

Un protocole de vérification d'identité est un ensemble de règles définies qui spécifient les preuves acceptées par une organisation, la manière dont elle les valide et le niveau d'assurance que le contrôle doit atteindre avant qu'un utilisateur puisse poursuivre. Une méthode de vérification, telle que la numérisation de documents ou le contrôle biométrique, est un élément d'un protocole plus vaste. Une entreprise exécute généralement plusieurs protocoles en parallèle, chacun étant adapté à un niveau de risque client différent.

Les trois cadres de protocoles sur lesquels s'appuient les entreprises

La plupart des entreprises réglementées fondent leurs exigences sur trois normes qui se chevauchent, notamment NIST800-63, les niveaux de vigilance à l'égard de la clientèle fondés sur les risques du GAFI et eIDAS 2.0. Ces cadres abordent vérification d'identité numérique de différents points de vue, mais leurs exigences convergent à des niveaux d'assurance plus élevés.

NIST 800-63 et niveaux d'assurance d'identité

Norme NIST SP 800-63A définit trois niveaux d'assurance d'identité.

IAL1 permet une vérification d'identité à distance, basée sur l'auto-déclaration, avec validation de preuves de base et biométrie optionnelle. IAL2 renforce les exigences. Les preuves doivent être validées auprès d'une source faisant autorité, et le demandeur doit s'y conformer par comparaison biométrique ou confirmation postale. IAL3 impose la présence physique, une vérification sur site supervisée et le prélèvement d'échantillons biométriques par un agent de vérification qualifié ; cette procédure est réservée aux situations nécessitant un niveau de sécurité maximal.

Pour l'intégration des services financiers et des fintechs, IAL2 constitue la norme opérationnelle de base. Les événements à haut risque, tels que le recouvrement de comptes, les transferts de valeur importante ou l'accès à des actifs soumis à restrictions, requièrent généralement des contrôles équivalents à IAL3, même lorsque les autorités réglementaires locales n'utilisent pas directement la terminologie du NIST.

Exigences de vérification par paliers de risque du GAFI

Le Recommandations du GAFI Il est nécessaire d'adopter une approche fondée sur les risques en matière de vérification de l'identité du client. La procédure standard de vérification de l'identité du client (CDD) comprend la confirmation de l'identité à l'aide de documents ou de données fiables. Vigilance renforcée (EDD) s'applique lorsque le client ou la transaction présente un risque élevé, notamment les personnes politiquement exposées, les paiements transfrontaliers de grande valeur, l'intégration non en face à face dans les juridictions à haut risque et les structures de propriété complexes.

Les exigences de l'EDD vont au-delà de la simple vérification de l'identité d'une personne. Le protocole doit vérifier la provenance des fonds, la propriété effective jusqu'au niveau du bénéficiaire effectif (UBO) et l'exposition politique, et il exige un suivi continu tout au long de la relation client. Aux États-Unis, Règlement final du FinCEN sur la CDD codifie ces obligations, imposant la vérification d'identité des personnes physiques détenant 25 % ou plus du capital de toute personne morale cliente.

eIDAS 2.0 et la transition vers les identifiants numériques

Les entreprises européennes sont confrontées à une échéance stricte de mise en conformité. D'ici décembre 2027, les entreprises des secteurs de la banque, de l'énergie, de la santé, de l'éducation et des télécommunications devront se conformer à la réglementation. Portefeuilles d'identité numérique de l'UE lorsque les utilisateurs les présentent, conformément à eIDAS 2.0. Les 27 États membres sont tenus de mettre des portefeuilles numériques à la disposition de leurs citoyens d'ici décembre 2026.

Pour les équipes de vérification d'identité, cela implique une planification protocolaire immédiate. Le portefeuille EUDI est considéré comme une preuve « SUPERBE » selon le cadre du NIST, car il est cryptographiquement vérifiable, signé par l'émetteur et inviolable. Les systèmes qui l'acceptent doivent interroger directement les éléments de sécurité numérique, et non se contenter de comparer un document photographié.

Les entreprises qui utilisent actuellement la vérification par téléchargement de documents uniquement pour les utilisateurs européens sont confrontées au plus grand écart de préparation. Un processus qui gère les passeports et les permis de conduire en 2026 devra intégrer la présentation des justificatifs d'identité sur portefeuille électronique d'ici 2027. Celles qui ont déjà déployé ce système vérification électronique de l'identité Les systèmes de bases de données nationales, tels que BankID, MitID et Singpass, sont mieux placés pour absorber ce changement sans avoir à tout reconstruire à partir de zéro.

Comment construire un cadre de protocole de vérification d'identité basé sur les risques

Un cadre de protocole basé sur les risques attribue à chaque segment de clientèle le niveau d'assurance approprié avant toute vérification. Cela diffère de l'application d'un flux standard unique à tous les utilisateurs.

Cartographier le risque client au niveau d'assurance approprié

Le système fonctionne avec au moins trois niveaux de risque client. Les clients standards, avec de faibles volumes de transactions et sans anomalies, peuvent bénéficier d'une vérification équivalente à IAL1, avec une validation documentaire de base. Les clients à risque élevé, notamment ceux opérant dans des secteurs réglementés, réalisant des transactions supérieures à certains seuils ou provenant de juridictions à haut risque, nécessitent des contrôles IAL2, incluant la validation croisée des attributs et la liaison biométrique. Les clients à très haut risque, tels que les PPE et ceux présentant des structures de bénéficiaires effectifs complexes, requièrent un protocole EDD complet avec traçabilité documentée et surveillance continue des transactions.

Le GAFI orientations relatives à l'identité numérique soutient explicitement cette approche par paliers, confirmant qu'un système d'identité numérique bien conçu peut satisfaire aux exigences d'assurance en matière de LBC/FT lorsque la méthode de vérification correspond correctement au résultat en matière de risque.

Personnalisation du protocole sans équipe de développement

L'un des principaux problèmes lors du passage à un modèle à niveaux de risque est le coût de l'ingénierie. Historiquement, trois flux de vérification distincts, un pour chaque niveau de risque, impliquaient trois intégrations distinctes. Les solutions modernes sans code permettent de réduire ce coût. outils de flux de travail de vérification Les équipes de conformité peuvent configurer la logique du protocole pour chaque niveau de risque, en définissant les exigences documentaires, les seuils biométriques, l'acceptation des systèmes d'identité électronique et les déclencheurs de niveau de risque supérieur, sans modifier l'API sous-jacente. L'attribution des niveaux de risque est mise à jour en temps réel en fonction de l'évolution des profils clients ; ainsi, un client standard qui franchit un seuil de transaction déclenche automatiquement le protocole renforcé.

Les erreurs courantes des entreprises lors du choix des protocoles de vérification d'identité

L'erreur la plus fréquente consiste à confondre « méthode de vérification » et « protocole de vérification ». Un contrôle biométrique est une méthode. Le protocole définit quand ce contrôle est requis, le niveau d'assurance qu'il doit respecter et les mesures à prendre en cas d'échec de la vérification.

Une autre lacune fréquente consiste à considérer le contrôle initial d'intégration comme l'intégralité du protocole. Les règles de connaissance du client (KYC) du GAFI et du FinCEN exigent toutes deux un suivi continu après l'intégration, et non une simple confirmation d'identité ponctuelle. Une entreprise dotée de contrôles d'accès rigoureux, mais sans processus de vérification post-intégration, présente une lacune structurelle dans son protocole.

Les entreprises qui entrent sur le marché de l'UE sous-estiment également le calendrier de mise en conformité avec eIDAS 2.0. Décembre 2027 est la date limite, mais les tests d'interopérabilité des portefeuilles électroniques, l'intégration technique et la formation du personnel nécessitent un délai. Un examen de how eIDAS2.0 redéfinit la vérification d'identité Les institutions financières européennes peuvent ainsi éviter une course contre la montre pour se conformer aux normes, sous pression, plus tard.

Les incompatibilités de protocoles et l'application incohérente des protocoles de vérification d'identité selon les niveaux de risque client constituent des sources majeures de non-conformité réglementaire pour les entreprises des secteurs des services financiers, de la fintech et des jeux en ligne. Shufti couvre l'ensemble des protocoles, des contrôles passifs de bases de données équivalents à IAL1 et de la vérification biométrique à plus de 30 systèmes d'identification électronique nationaux pour la conformité à eIDAS 2.0, le tout configurable par niveau de risque via une interface sans code. Démo en visio pour associer vos segments de clientèle au protocole de vérification approprié et visualiser le flux complet sur vos propres cas d'utilisation.