Les données jouent un rôle de plus en plus stratégique au sein des institutions bancaires et financières. Quant au KYC (Know Your Customer), les données rattachées à la connaissance du client, leur importance s’accentue au fil des évolutions règlementaires.
Depuis de longues années, le sujet majeur autour du KYC est sa digitalisation : la transformation digitale des processus d’entrée en relation a permis de simplifier l’ensemble de l’expérience client. La gestion documentaire a également été optimisée de bout en bout pour enrichir et fiabiliser la connaissance client.
D’année en année, la réglementation se durcit autour de la compliance. La question qui se pose désormais est celle d’internaliser ou d'externaliser toute cette fonction et ses « tâches opérationnelles essentielles » afin d’optimiser les coûts et les processus, tout en respectant les contraintes réglementaires de conformité bancaire et financière.
Le dilemme des banques et des institutions financières est donc aujourd’hui majeur : ont-elles davantage intérêt à internaliser ou à externaliser leur processus d’acquisition et de gestion des données en lien avec le KYC ?
Internaliser le KYC, entre garanties et contraintes
Les 5 grandes raisons d’internaliser le KYC
En premier lieu, il faut noter qu’à l’origine, la plupart des institutions bancaires et financières ne se posaient pas la question de l’internalisation ou de l’externalisation de leurs démarches et processus KYC : il était habituel de les conserver en interne.
Si beaucoup continuent d’agir ainsi malgré le renforcement des réglementations et des contrôles, c’est essentiellement pour 5 raisons.
D’abord, la première raison de garder en interne le processus KYC est de mettre en place une organisation et un KYC en phase avec l’organisation et adaptés à ses besoins : l’institution peut agir comme bon lui semble et mettre en place le strict nécessaire pour répondre à ses obligations.
Ensuite, cela permet de conserver un contrôle total sur le parcours client. Cet élément étant de plus en plus crucial, il est compréhensible de vouloir en rester maître.
La maîtrise des coûts liés au KYC et à la compliance en général est un autre grand argument de l’internalisation : il est certain que garder le processus KYC en interne permet de mieux contrôler les coûts, bien que l’externalisation ne soit in fine pas toujours plus coûteuse que l’internalisation.
Il peut aussi paraître essentiel de maîtriser la qualité des données. Compte tenu de l’évolution rapide de l’importance et du potentiel des données, leur qualité doit rester optimale afin de pouvoir prendre les meilleures décisions.
Enfin, n’oublions pas les investissements IT. Les investissements nécessaires peuvent être coûteux et longs, mais ils sont aussi utiles et nécessaires.
En dépit de ces grands avantages de l’internalisation du KYC, il faut aussi mentionner ce qui vient noircir le tableau de cette décision. En effet, les inconvénients, les risques et les difficultés ne sont pas rares dans ce cas de figure.
Les inconvénients de conserver en interne le KYC
Le contexte réglementaire autour des institutions financières et bancaires devient de plus en plus exigeant, particulièrement depuis la crise des subprimes. Il peut alors être à la fois onéreux et chronophage de ne pas sous-traiter les tâches à faible valeur ajoutée liées au processus KYC et de ne pas les industrialiser autant que faire se peut.
L’approche de l’internalisation consiste souvent à insister pour tout faire soi-même, coûte que coûte, parfois même au détriment des missions initiales des collaborateurs.
Un prestataire externe peut venir compléter et accélérer le travail des équipes de conformité internes et leur permet de se détacher des taches répétitives et peu créatrices de valeur (par exemple, la vérification manuelle de pièces justificatives).
Le prestataire peut aussi agir sur des procédures relevant de la responsabilité de l'institution financière, internaliser la mise en conformité liée au KYC peut pénaliser la performance et l’efficacité de toute l’organisation.
Externaliser le KYC, le choix de plus en plus d’institutions bancaires et financières
Il y a plusieurs manières d’expliquer qu’un nombre croissant d’institutions bancaires et financières choisissent d’externaliser leur processus KYC à des prestataires de confiance spécialisés sur la compliance.
C’est à mesure du renforcement des exigences LCB-FT qui complexifient les processus réglementaires que les organisations prennent cette décision.
Les avantages qui persuadent les institutions de déléguer le KYC
L’objectif de l’externalisation du KYC est d’optimiser leur processus KYC en conformité avec les exigences légales tout en souplesse, avec rapidité et en cherchant à maîtriser les coûts.
Justement, commençons par mentionner les coûts : si l’externalisation peut sembler plus coûteuse de prime abord, il ne faut pas oublier plusieurs choses :
- Une erreur ou une négligence constatée suite à un contrôle peut coûter cher, très cher
- Pour les structures de taille modeste ou intermédiaire, il n’est pas toujours utile ni justifié de dédier à temps plein une fonction pour la mise en place et le contrôle contrôle des KYC : le domaine d’activité, la charge de travail et surtout l’effectif peuvent rendre l’internalisation plus chère que l’externalisation
Un autre grand bénéfice qu’ont les institutions à déléguer leur processus KYC est de permettre à l’ensemble des effectifs de se concentrer à 100 % sur leur métier.
Plus largement, l’externalisation du traitement KYC se révèle souvent être un levier important d’efficacité et de gestion des capacités pour l’organisation.
Il est cependant important de ne pas chercher à aller trop loin dans la délégation de ces activités. Il est notamment interdit suite à un avertissement ou à une sanction du régulateur d’inclure le prestataire comme partie prenante pour définir et exécuter les procédures de due diligence de l’organisme financier (voir l’article 165 du chapitre 4.2 des lignes directrices de l’ACPR : « les organismes financiers s’assurent notamment que les mesures de vigilance externalisées auprès d’un prestataire sont effectivement mises en œuvre par ce dernier dans le respect de leur propre procédure »).
Pour finir, l’émergence des nouvelles technologies comme la blockchain et l’intelligence artificielle offrent de nouvelles perspectives aux institutions. Avec des solutions comme Archipels, il devient possible d’atteindre un niveau de flexibilité inédit capable de réinventer les règles du KYC en profondeur et sur le long terme.
Les inconvénients à l’externalisation du KYC
Si externaliser le KYC présente sans nul doute de nombreux avantages, certaines limites sont à noter, notamment à long terme.
Externaliser le KYC peut être coûteux et ajouter de la complexité, en plus d’avoir à gérer un prestataire extérieur avec des process différents. Néanmoins, il peut être plus viable économiquement d'externaliser le KYC pour des équipes restreintes et volumes limités, et à l'inverse d'internaliser pour des volumes plus importants en raison d’un effet d'échelle
Également, certains acteurs généralistes sont performants sur des dossiers simples, ils le sont moins sur les plus complexes, ce qui peut augmenter le coût de traitement pour le dossier en question. Effectivement, les prestataires externes, en raison des technologies qu'ils utilisent, ne supportent qu'un certain nombre de types de document standards (une dizaine). C'est essentiellement là que l'automatisation est possible et intéressante financièrement parlant.
La gestion des données transmises aux partenaires-prestataires est aussi un sujet clé, aussi bien au niveau de la sécurité que de la souveraineté et de la confidentialité de ces données.
Faire le choix de l’externalisation peut aussi faire perdre en partie la maîtrise de la gestion des risques et des compétences.
L’externalisation du processus KYC ne se fait pas non plus à l’improviste : les conditions qui s’offrent aux institutions sont spécifiques. Ce sont les lignes directrices de l’ACPR (l’Autorité de Contrôle Prudentiel et de Résolution) du 17 décembre 2018 relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle qui explicitent ces conditions.
Comment choisir entre l’internalisation ou l’externalisation du KYC ?
Alors, internaliser ou externaliser ? La solution parfaite et universelle n’existe pas.
Ce choix pour le processus KYC doit être réfléchi au cours d’une réflexion stratégique et opérationnelle, par exemple de type « Make or Buy » (sur l’ensemble ou sur une partie du processus).
L’institution doit alors adresser plusieurs questions clés communes aux démarches d’externalisation en tenant compte des particularités du KYC : compétences spécifiques, gestion des contrôles, maîtrise des coûts, gestion des risques, dynamique sur les volumes à traiter, modalités d’accès, enrichissement des bases de données et documentaires, etc.
En résumé, seule une réflexion approfondie avant tout projet d’externalisation du KYC permet d’en évaluer tous les bénéfices et les risques en comparaison avec l’internalisation du processus. Plusieurs solutions s’offrent à vous pour externaliser le processus KYC.