Que l’on soit e-marchand ou fournisseur de logiciel, qu’on appartienne au monde B2B ou B2C, la « connaissance client » est au cœur des préoccupations des entreprises. Depuis plusieurs mois, le terme « KYC », acronyme pour « Know Your Customer » fait son apparition dans de nombreux articles de presse dédiés aux Fintech ou à la relation client. Plus qu’un nouveau mot tendance, il s’agit d’un processus légal en place depuis plusieurs années et obligatoire pour les établissements de paiement, gage du sérieux de leurs activités. Mais c’est aussi et surtout une garantie pour les entreprises utilisatrices de ces services financiers, en termes de transparence financière et de croissance.
Marie Nicolas, Compliance and Financial Security Officer depuis un an chez SlimPay, nous en dit plus le sujet.
Peux-tu nous donner une définition simple de ce qu’est le KYC ?
Le process de KYC s’inscrit au sein d’un dispositif plus large de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT), dont le cadre juridique est régulièrement renforcé (notamment depuis 2009) et auquel les établissements du secteur bancaire comme SlimPay sont soumis.
Dans la pratique, je définis le KYC comme la connaissance parfaite de nos clients, avec l’objectif de créer l’environnement de confiance nécessaire à l’utilisation d’un moyen de paiement par le consommateur (ou client de notre client). Cela s’illustre aussi bien par l’aspect purement réglementaire (collecte de tous les documents officiels tels que la pièce d’identité, le RIB…) que par la compréhension précise de leur activité, leur business modèle, leur schéma de paiement, et l’assurance que notre solution répond bien à leurs besoins. Ce dernier point est crucial : notre objectif est d’interférer le moins possible dans le commerce de nos clients. Ainsi, plus nous collectons ces informations bien en amont, plus nous nous assurons une collaboration de long terme, en mettant en place un véritable contrat de confiance avec les entreprises qui nous choisissent.
Le KYC a donc une double mission : réglementaire et business !
Il s’agit donc bien d’une réglementation « officielle » et non d’un processus interne à chaque entreprise ?
Oui et non. Dans le cas de SlimPay, en tant qu’établissement de paiement opérant dans le cadre de la directive DSP (Directive Services de Paiement), nous répondons à une réglementation européenne transposée en droit français (au sein du Code monétaire et financier) qui nous impose par exemple de récupérer certains documents de nos clients avant de les autoriser à utiliser notre solution.
A cela s’ajoute notre processus interne, mis en place au gré de nos expériences passées, comme par exemple l’inclusion du KYC à notre « Comité des risques » composé du CEO, du CTO, du CFO et du Responsable du Contrôle Interne et de la Conformité, afin de statuer sur le niveau de risque de certains clients lorsque le processus de KYC révèle un résultat mitigé.
Il est intéressant de noter que de nombreuses entreprises non tenues de mettre en place un processus KYC s’en inspirent énormément car outre l’obligation réglementaire, il est très utile de connaître ses clients sur le bout des doigts (actualité, changement de gouvernance, évolution de l’offre…) pour mieux les accompagner.
Peux-tu justement nous décrire en détails le processus de KYC chez SlimPay ?
On peut le décomposer en deux étapes :
1 – Le « KYC papier » qui correspond à la récolte des documents officiels types carte d’identité, RIB, certificat d’enregistrement au registre du commerce. L’objectif est de s’assurer que tout est conforme, valide (non expiré ou pas trop ancien) et identifier les bénéficiaires effectifs des transactions ainsi que les décisionnaires au sein de l’entreprise (actionnaires qui récupèrent les fonds, responsables légaux de l’entreprise, gérant…).
2 – Le « KYC Internet » qui vient compléter le KYC papier en s’intéressant à l’actualité de l’entreprise, sa réputation, en s’assurant que le site web, les adresses mails sont fonctionnels, et que nous ne sommes pas en face d’un cas d’usurpation d’identité avec volonté par exemple d’effectuer des paiements sans fournir à l’utilisateur final le service ou produit acheté. Nous allons donc être amenés à nous intéresser à l’activité de nos clients afin de s’assurer de leur sérieux. Pour cela, nous établissons un profil de risque que nous ajustons dans le temps au fil des évolutions de l’entreprise cliente (nouvelle activité plus ou moins risquée, nouveaux actionnaires…). Plus le profil est dit « risqué » plus les révisions sont fréquentes (mise à jour du profil, des documents légaux, s’assurer que l’entreprise est toujours en activité…).
Quels sont les délais moyens d’accomplissement du processus de KYC ?
Le processus de KYC doit être réalisé avant que le client n’utilise notre solution. Ainsi, nous mettons tous les moyens en œuvre afin qu’il s’effectue le plus rapidement possible.
Si on nous transmet tous les documents nécessaires rapidement, tout peut être en règle en une demi-journée.
Cependant, dans certains cas de figure (organisations complexes, responsabilité légale diluée dans une chaîne d’entreprises, nombreuses parties prenantes…), nous pouvons mettre 1 à 4 semaines à mener le processus à son terme.
Plus l’entreprise cliente est transparente avec nous, plus le processus de KYC est rapide !
Est-ce un processus universel ?
Non et il ne pourra jamais l’être. En fonction du type de service proposé (par exemple dans le cas de SlimPay un service de paiement par prélèvement), les points de contrôles diffèrent. Par exemple, certains établissements doivent plutôt se concentrer sur la solvabilité d’une entreprise.
Le KYC dépend donc de l’activité du fournisseur mais aussi du niveau de risque (financier et réglementaire) décidé par la société.
Pourquoi est-il important de mettre en place ces processus ? Pour SlimPay, les entreprises clientes de SlimPay ? Pour les clients de ses entreprises ?
Pour SlimPay tout d’abord, c’est imposé par la réglementation des Établissements de paiement agréés. Nous sommes donc tenus de mettre en place ces processus.
Néanmoins, ce n’est pas l’unique raison. Cela permet en effet de minimiser notre propre prise de risque lorsque nous choisissons d’exécuter des paiements pour le compte d’un de nos clients. A ce titre nous sommes contrôlés régulièrement.
Pour nos clients, il est nécessaire d’intégrer le fait que faire appel à un nos services revient à utiliser les services d’un établissement financier au sens classique du terme, avec la réglementation imposée à tout le secteur banque/finance. Nous sommes une fintech mais nous sommes soumis aux mêmes réglementations et contraintes, garantes du sérieux de notre activité.
Enfin pour les clients de nos clients, il est important de savoir que les entreprises qu’ils sollicitent font appel à des prestataires tiers de confiance, notamment lorsqu’il s’agit de sujets aussi sensibles que les paiements et autres transactions d’argent.
Les clients soumis à ces « contrôles » perçoivent-ils le KYC comme une contrainte ou comme une garantie ?
C’est là que le rôle de nos équipes commerciales est très important. En charge de la relation directe avec nos clients, ils jouent un rôle pédagogique clé. Nos clients doivent comprendre l’intérêt de se soumettre à nos processus de KYC et de coopérer (en transmettant les documents nécessaires par exemple) pour passer le plus rapidement possible à la phase d’implémentation de notre solution.
Notre objectif est de faire respecter la réglementation en vigueur afin de protéger toutes les parties prenantes en évitant d’imposer un processus lourd et intrusif et surtout en n’interférant pas dans l’activité de nos clients.
Et si des éléments qualifiés de risqués sont mis en évidence ?
Si nous décelons un « client risqué » lors du processus de KYC, nous faisons d’abord effectuer une seconde revue des éléments en interne. Nous faisons aussi appel à nos équipes commerciales, bien placées pour nous donner les éléments nécessaires à la compréhension de l’activité du client. Si le risque est avéré nous stoppons la relation et si le doute persiste, une décision est prise en Comité des risques.
Si des flux suspects sont décelés chez un client existant (montant anormal, fréquence anormale), la première étape est de vérifier s’il existe une explication en lien avec son activité. Nous faisons ici encore appel au commercial en charge de ce client afin d’avoir son éclairage (son client a changé de business model, son activité est saisonnière…). Enfin, nous contactons directement le client pour confirmer notre hypothèse ou demander des informations supplémentaires.
Cette relation directe avec le client peut s’avérer très importante : cela nous a par exemple permis d’aider l’un d’entre eux à revoir son utilisation de la solution qui n’était plus adaptée. Néanmoins notre objectif est d’interférer le moins possible et si cela doit être le cas, nous le faisons avec la plus grande vigilance mais aussi avec beaucoup de bienveillance.
Enfin, si malgré toutes nos recherches nous n’arrivons pas à comprendre ni la raison commerciale d’une opération, ni l’origine ou la destination des fonds liés à une transaction, nous sommes dans l’obligation de mettre un terme à la relation d’affaires et d’en alerter les autorités compétentes.
Comment devient-on responsable du KYC ?
A l’Ecole de Droit de la Sorbonne, j’ai opté pour un Master Droit du Commerce Électronique et Économie Numérique, en m’intéressant tout particulièrement à la question du paiement en ligne. Une question m’intriguait : comment se répartit la responsabilité dans le paiement ? C’est un sujet juridique très complexe étant donné le nombre d’intermédiaires et parties prenantes en jeu.
Lors de ma première expérience professionnelle, déjà dans l’univers du paiement en ligne, j’ai participé à la mise en place d’un processus de KYC.
Aujourd’hui, chez SlimPay, je porte une attention toute particulière à la satisfaction client et à la pédagogie autour de notre démarche de KYC.
Quel est LE mot clé que tu associes à KYC ?
Je dois en sélectionner deux qui pour moi sont indissociables : CONFIANCE et CONCILIATION
