Dans le cadre d’une relation d’affaires, les entités assujetties identifient toujours les personnes suivantes :
- leurs clients ;
- les mandataires de leurs clients ;
- les bénéficiaires contractuels des contrats d’assurance-vie (pour les intermédiaires d’assurances), dès qu’ils sont désignés ou sont identifiables ;
- les bénéficiaires effectifs des personnes précitées. Les bénéficiaires effectifs sont les personnes physiques qui contrôlent ces personnes. A titre d’exemple, il s’agit de l’actionnaire de contrôle lorsque le client est une société.
L’identification du client et la vérification de l’identité ne doivent pas être confondus avec l’évaluation individuelle des risques.
Identification
En catégorie de risque « standard », les éléments pertinents à recueillir sont au minimum :
- pour une personne physique : son nom, son prénom, ses lieu et date de naissance et, dans la mesure du possible, son adresse.
- pour une personne morale : sa dénomination sociale, son siège social, la liste de ses administrateurs et les dispositions régissant le pouvoir d'engager la personne morale.
Ces informations permettent de distinguer les personnes concernées de toutes autres personnes et doivent permettre d’identifier les personnes concernées de façon suffisamment certaine.
L’entité doit tenir compte du niveau de risque attribué au client, dans le cadre de l’évaluation individuelle des risques. Si un client a été catégorisé individuellement comme un risque élevé, l’entité doit s’assurer que les informations recueillies permettent de distinguer de façon incontestable cette personne de toute autre personne. Si nécessaire, elle doit recueillir des informations complémentaires.
L’identification a lieu avant de nouer la relation d’affaires ou de réaliser l’opération occasionnelle.
Si l’identification n’est pas possible, la relation d’affaire ne peut être nouée ou l’opération envisagée ne peut être réalisée. Pour les intermédiaires d’assurance, les bénéficiaires contractuels des contrats d’assurance-vie doivent être identifiés dès qu’ils sont désignés ou identifiables et la vérification de leur identité intervient au plus tard au moment du payement de la prestation. Les documents doivent être conservés.
Vérification de l’identité
La vérification de l’identité intervient à l’aide :
- d’un ou de plusieurs documents probants, ou sources fiables et indépendantes d’informations qui permettent de confirmer ces données ;
- le cas échéant, de l’information obtenue par l'utilisation de moyens d'identification électroniques proposés ou agréés au sein du service d'authentification, confirmant l'identité des personnes online[1] ;
- le cas échéant, de l’information obtenue via les services de confiance pertinents[2].
Il s’agit par exemple d’une carte d’identité électronique avec lecteur de carte (eID), itsme ou un code SMS lié à une personne qui sont tous offerts dans le service d’authentification (“CSAM”).
La vérification doit permettre à l’entité d’acquérir un degré suffisant de certitude quant à la connaissance des personnes concernées.
L’entité doit tenir compte du niveau de risque attribué au client, dans le cadre de l’évaluation individuelle des risques. Si le client est catégorisé comme risque élevé, une attention accrue est portée à la vérification de telle manière que l’entité assujettie acquiert un degré élevé de certitude quant à sa connaissance de cette personne.
[1] Articles 9 et 10 de la loi du 18 juillet 2017 relative à l'identification électronique.
[2] Règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.