Nous concluons ici notre série d’articles sur les solutions de mutualisation du KYC. Notons tout d’abord que, malgré nos quatre articles précédents, nous n’avons réalisé qu’un tour d’horizon partiel des solutions du marché. Nous n’avons, par exemple, pas regardé l’écosystème des Fintechs/Regtechs, qui propose pourtant, rien qu’en France, quelques start-up intéressantes, quoique très récentes et ne bénéficiant pour l’instant pas d’un produit disponible ou d’un retour d’expérience significatif. Citons-en tout de même deux. D’une part, Conformitee, start-up lyonnaise qui se démarque des autres initiatives de par ses fondateurs : ils sont issus du monde de l’entreprise, trésorerie en particulier, et non de la banque. D’autre part, Blue Catalyst, un spin-off de Capgemini, qui a fait des choix stratégiques proches de ceux de Clipeum (pas de standardisation, décentralisation du système, pas de contrôle des données par l’exploitant du système, blockchain…).
Le bilan de notre tour d’horizon
Si nous avons adopté dans nos articles une distinction par typologie d’acteurs, qui présentait l’avantage d’être claire et chronologique, il convient de relever d’autres facteurs de distinction entre les différentes initiatives.
L’harmonisation des données : plusieurs choix stratégiques, pas de solution miracle
Le sujet de l’harmonisation des données est une grande ligne de fracture entre les solutions que nous avons regardées. Nous avions déjà noté (voir article 2) une forme d’harmonisation que l’on peut qualifier de « top down », où le fournisseur de la solution de mutualisation qui fixe les standards et les impose aux banques utilisatrices. C’était le choix des acteurs de l’information financière tel que Markit Counterparty Manager. Toutefois, cela a posé à beaucoup d’institutions utilisatrices un problème de correspondance entre le référentiel du fournisseur et le leur, ce qui gênait considérablement le contrôle de complétude et de qualité sur les données en provenance de la plateforme. Les normes et référentiels issus de la conformité n’étant pas faciles à changer, cette stratégie a considérablement freiné leur adoption.
La seconde tendance est une harmonisation dite « bottom-up ». Elle vise pour l’acteur de la solution à réunir l’ensemble des établissements financiers afin de parvenir à la standardisation de leurs données, documentations et vérifications préalables. C’est en ce sens que se sont développés le KYC Registry de SWIFT avec une ambition d’harmonisation mondiale (voir article 3) et le Nordic KYC Utility d’un consortium de banques scandinaves visant une harmonisation de niveau régional (voir article 4). Pour les clients des institutions, cette approche leur assure de ne jamais demander plusieurs fois les mêmes informations ou documents ; pour les institutions, elle est sécurisante car elle permet d’aligner la connaissance client entre établissements. En revanche, l’exercice de standardisation comporte des difficultés notables : il est long, nécessite une implication forte des participants, tant en termes de temps passé que d’interlocuteurs mobilisés. Mais surtout, il nécessite une transparence (sur les forces, faiblesses et risques) et un esprit de coopération et de compromis qui ne sont pas très développés sur ces sujets de conformité dans la culture des établissements. Par ailleurs, les stratégies individuelles ne sont jamais partagées, alors qu’on les sait divergentes.
Enfin, il reste une catégorie d’acteurs qui a choisi de ne pas harmoniser a priori les documents et informations, comme Clipeum. C’est aussi le cas de Blue Catalyst, mais la plateforme (qui ne sera en production qu’au 2e semestre 2020) proposera, pour pallier cette faiblesse, un moteur de matching automatisé entre les données et documents recueillis et ceux attendus par les établissements.
Une différence d’approche technologique : la centralisation ou la décentralisation de la base de données KYC
Une autre ligne de fracture entre les différentes solutions de mutualisation se dessine quant au choix, largement technologique, d’administration de la base de données.
L’approche la plus largement partagée consiste à centraliser la plateforme, et à déléguer à l’exploitant la sécurisation des données et des connexions. Plus récente, l’approche décentralisée vise à installer la solution au sein de chaque institution participante. La sécurisation du tout est confiée à la technologie Blockchain. C’est le cas de la solution Clipeum (voir article 4), ou de Blue Catalyst, ce dernier ayant déclaré utiliser le protocole blockchain Corda de R3, un consortium bancaire centré sur la démocratisation de la blockchain.
Comme nous l’avons vu dans les précédents articles, la blockchain (et donc la décentralisation) n’apportera pas de baisse de coût révolutionnaire, d’autant qu’au stade actuel, elle doit encore faire ses preuves à grande échelle. Finalement, il nous semble pour que ce sont les critères non technologiques qui assureront l’échec ou le succès d’une solution : le soutien et l’implication des participants, l’expérience utilisateur, la facilité d’intégration et son coût, le niveau de service ou encore la réactivité aux changements.
L’apport variable des solutions de mutualisation dans la chaîne de valeur
Troisième ligne de fracture entre les solutions, les garanties offertes par la plateforme en termes de qualité et complétude. On trouve les solutions de coffre-fort digital, comme Clipeum ou Blue Catalyst, qui se limitent à la collecte des documents et des données. Des solutions comme SWIFT Register et Nordic KYC Utility effectuent un contrôle de qualité et de complétude, par rapport au référentiel commun élaboré avec leurs commanditaires. Enfin, certaines solutions vont offrir une quasi-externalisation en proposant de collecter et de contrôler les données, mais aussi de garantir leur mise à jour permanente, grâce à la prise en compte d’événements externes par interfaçage avec différentes bases de données. C’est le modèle adopté par la solution i-Hub, filiale de la poste luxembourgeoise (voir article 3).
Bien sûr, ces garanties supplémentaires ont un coût : plus la solution offre de garanties, plus son tarif sera élevé. Pour obtenir le coût réel de la solution, il faut bien entendu retirer les coûts des contrôles réalisés en interne. Cette étape, propre à chaque établissement, rend la comparabilité entre les solutions difficile. C’est d’autant plus vrai que les établissements, restant responsables des KYC en dernier ressort aux yeux du superviseur, sont tentés de conserver une couche de contrôle en interne, fût-elle par échantillonnage et a posteriori. Ils devront également réaliser des contrôles périodiques du prestataire opérant la plateforme, coût qui peut être modéré en s’accordant avec les autres utilisateurs de la plateforme sur un plan de contrôle commun.
Des promesses qui restent dans le moyen terme à ce stade
Au final, nous avons vu en regardant les initiatives les plus anciennes que le first-mover advantage n’est pas une réalité sur ce marché si particulier. Il faudra donc encore du temps pour qu’une solution s’impose comme la solution de Place : le temps de finaliser la technologie (et l’harmonisation pour celles qui ont choisi cette voie), le temps que le marché fasse jouer la concurrence, qu’une solution commence à émerger, puis au fur et à mesure qu’une solution s’impose : l’adoption et l’intégration par les participants, et enfin l’adoption par les clients des établissements. Il faut aussi compter avec des associations comme l’AFTE (Association Française des Trésoriers d’Entreprise), qui s’intéressent de près à l’état de l’art et pourraient, en promouvant une solution auprès de leurs adhérents, faire pencher la balance.
La mutualisation du KYC reste une voie très prometteuse pour des gains productivité mais il faut avoir à l’esprit qu’il s’agit d’une solution à moyen terme. Si son adoption commence dès maintenant, le retour sur investissement n’interviendra que d’ici 3 à 5 ans. Or, avec les taux bas que les banques ont intégré dans leur scénario de base pour les prochaines années et la récession qui se profile à la suite de la crise sanitaire mondiale, c’est tout de suite qu’elles ont besoin de gains de productivité. D’autres voies sont à envisager afin de dégager des gains de productivité à plus court à terme.
Les autres solutions à envisager pour améliorer le processus KYC
Quelles solutions, technologiques ou organisationnelles, permettraient donc de dégager des gains de productivité à court terme ?
Les nouvelles technologies au service de la conformité
Deux innovations technologiques jouent actuellement les têtes d’affiche, et ont remplacé à ce titre la blockchain, sur laquelle nous avons déjà présenté nos convictions (voir Article 1) : la RPA (Robotic Process Automation) et le ML ou machine learning.
La RPA vise à automatiser certaines tâches ne nécessitant pas de jugement humain. De ce fait, les tâches ne seront pas réalisées par un collaborateur mais par un robot ou plus précisément un programme informatique. Dans le cadre du KYC, la RPA pourrait notamment intervenir dans le cadre du screening. Cette opération consiste à vérifier si le client ne figure pas dans une liste de sanctions ou embargos ou s’il n’appartient pas à la catégorie des personnes politiquement exposées (PPE). La RPA pourrait vérifier ces informations de manière plus rapide, à moindre coût et en réduisant le risque opérationnel. Les collaborateurs pourraient alors se focaliser sur l’analyse des hits proprement dite.
Si le remplacement d’une tâche par un robot présente l’avantage d’être rapide à mettre en œuvre et ne requiert pas de compétences rares, elle nécessite néanmoins que les procédures soient très claires et précises, ce qui est loin d’être toujours le cas dans le domaine de la conformité.
Une autre technologie qui pourrait être utile au service compliance est le machine learning (ML). Il s’agit d’une forme d’intelligence artificielle visant à un apprentissage automatique à partir d’un ensemble de données. L’approche de l’apprentissage est donc statistique. Le champ d’application du ML est extrêmement vaste et le domaine de la conformité ne fait pas exception. Un de ses cas d’usage les plus prometteurs consiste à pré-qualifier les différentes alertes à traiter par la conformité, par exemples les alertes générées par les outils LCB-FT d’analyse comportementale, pour réduire de manière significative le traitement des « faux-positifs ». En apprenant à partir d’une base de données d’alertes avérées et d’alertes rejetées, le programme générerait alors des alertes beaucoup plus précises. Là encore, les ressources humaines ne seront mobilisées que pour analyser les opérations qui présentent une forte probabilité d’être une opération de blanchiment ou de financement du terrorisme. Il existe d’autres types d’alertes en conformité qui pourraient bénéficier du machine learning (signaux d’abus de marché, analyse du profil transactionnel…).
Mais si elle présente des promesses considérables, la technologie n’est pas encore aussi mature que la RPA. L’investissement financier de départ est lourd et sa mise en place peut être complexe. En effet, la phase d’apprentissage nécessite de présenter à l’algorithme auto-apprenant une grande quantité de données, qu’il faut donc extraire, trier, consolider, fiabiliser. Une fois les données disponibles, il faut passer par un travail d’adaptation des algorithmes de machine learning au cas d’usage. En effet, aujourd’hui, le unsupervised machine learning, où l’on n’indique pas à l’algorithme quelles relations regarder en priorité, n’est pas assez pertinent. Pour le supervised machine learning, la qualité des data scientists et des experts métiers chargés d’adapter ces algorithmes est un facteur déterminant du succès du projet.
De plus, pour que le ML s’impose dans le cadre de la conformité, il doit relever un défi particulier : l’auditabilité et l’explicabilité de la décision prise par la machine. En effet, dans le cadre d’un contrôle réalisé par une autorité de régulation, l’établissement doit être en mesure d’expliquer comment la machine « raisonne » dans sa prise de décision. Ainsi, toutes les solutions « black box » n’ont aucune chance de s’imposer en conformité. Des fournisseurs de solutions « white box » apparaissent et pourraient correspondre aux exigences de la conformité.
Ces nouvelles opportunités technologiques (RPA, ML) sont donc intéressantes pour les banques mais nécessitent des investissements, soit pour se mettre à niveau sur les prérequis (procédures précises pour RPA, données structurées pour ML), soit pour développer les solutions elles-mêmes (en ML). Cela signifie que, comme pour la mutualisation du KYC, les gains sont à attendre surtout dans le moyen terme, même si dans certaines activités de type back-office, les gains de la RPA peuvent être significatifs assez rapidement. Il est clair que ceux qui investissent dès maintenant seront les premiers à bénéficier de l’avantage compétitif offert par ces technologies. De nombreux partenariats technologiques ont été noués ces dernières années par les banques, il reviendra aux plans stratégiques 2021-2023 en gestation de faire le tri et d’approfondir les relations avec les fournisseurs les plus prometteurs.
En attendant, les dirigeants et managers des établissements financiers restent sous pression pour réduire les coûts à court terme. La rationalisation du processus KYC reste, selon nous, la réponse la plus pertinente.
La nécessaire rationalisation du processus KYC pour parvenir à dégager des gains de productivité
A côté des nouvelles technologies, une série de leviers plus traditionnels peut être actionnée pour obtenir des gains de productivité : rationalisation de la norme, de sa déclinaison opérationnelle en procédures à son organisation.
Complète puisqu’elle joue sur les trois leviers, la démarche de centralisation du processus KYC permet principalement de supprimer des tâches en doublon. Ainsi, lorsqu’un client d’un groupe bancaire souhaite initier une relation d’affaires avec une autre entité du groupe, il s’agit de « réutiliser » toutes les informations et documents de preuve déjà en possession de la première entité pour instruire son dossier dans la deuxième. Dans le cas où la deuxième entité se situerait dans un autre pays, la demande d’informations complémentaires se limite à celles spécifiquement demandées par la réglementation locale du pays en question (voir notre article dédié publié en 2017 : « Centralisation du dossier client, la nouvelle frontière pour les banques des Corporate »). Dans le même esprit, lorsqu’une nouvelle filiale d’un groupe déjà connue entre en relation avec la banque, la réutilisation des informations déjà connues et analysées, comme la structure actionnariale et les bénéficiaires effectifs, est un vecteur d’efficacité et d’amélioration de l’expérience client.
D’autres démarches portent plus spécifiquement sur le levier de la norme. Par exemple, en analysant la base de données des scores de risque des clients, on peut identifier les critères qui ont la contribution la plus faible et les éliminer ou les traiter différemment. En simplifiant le modèle de scoring, on peut éviter des demandes d’informations aux clients. Autre exemple : en mesurant, dans le processus KYC, les taux d’interventions des différents participants (analyste conformité généraliste, expert sanctions ou PPE…), on peut redéfinir les critères d’intervention, dans une démarche d’approche par les risques, pour concentrer ces interventions sur les cas qui le méritent.
Enfin des actions peuvent également être menées au niveau de l’organisation. Par exemple, certains établissements, qui ont adopté une approche industrielle du KYC, avec une forte division du travail en tâches élémentaires réalisées par des intervenants spécialisés (pour la collecte, le contrôle, la saisie, les screenings sanctions et PEP, les adverse media…), se posent aujourd’hui la question de la pertinence d’un tel modèle. En effet, cette approche limite grandement le nombre de personnes qui possède une vision holistique du profil du client. Or, c’est bien cette vision qui permet, par rapprochement d’éléments dispersés dans le dossier, d’identifier des incohérences ou des zones de risque. Par ailleurs, bien que spécialisés et donc individuellement efficaces, la multiplication des intervenants créer un risque opérationnel fort et détériore généralement l’expérience client. Différentes solutions organisationnelles existent pour retrouver un meilleur équilibre entre efficacité, expérience client et expérience collaborateur, tout en réduisant le risque. Ces solutions doivent être élaborées « sur mesure », en prenant en compte le contexte propre à chaque établissement. Dans ces cas de réflexions sur l’organisation, les méthodes du lean management sont utiles pour permettre au management de formaliser ses objectifs.
Pour conclure, les opérationnels et la conformité, acteurs du processus KYC, disposent de plusieurs leviers très variés pour en améliorer l’efficacité tout en en préservant la qualité. Il leur appartient de définir une stratégie cohérente, en sachant exploiter les leviers les plus rapides à mettre en œuvre, sur les normes ou les procédures par exemple, pour leur valeur propre et pour leur capacité à créer un environnement où les nouvelles solutions technologiques ou de mutualisation pourront délivrer, à moyen terme, leur plein potentiel. Le levier de l’organisation, plus complexe à manier lorsqu’il est ambitieux (externalisation, CSP…) doit être parfaitement en ligne avec les choix stratégiques et de culture d’entreprise (responsabilisation de la 1ère ligne de défense, clientèle visée…). Si l’on rajoute à cela le besoin de conserver la flexibilité nécessaire à l’évolution permanent du cadre réglementaire, et la nécessité de redonner au KYC, dans les cultures d’entreprise, sa place de premier rempart contre le blanchiment, souvent perdue à la faveur d’une vision purement administrative, on mesure les défis qui font du KYC un domaine dont l’évolution dans les années à venir s’annonce fascinante.
Guillaume Soubelet
Associé de Fincley Consulting
guillaume.soubelet@fincley.com/old2023