La Digital Identity Guidance publiée en mars 2020 par le GAFI est une contribution déterminante sur l’évaluation des schémas d’identité numérique au regard des règles LCB-FT, notamment lorsqu’il s’agit d'identifier le client et vérifier son identité au moyen de documents, données et informations de source fiables et indépendantes (Recommandation GAFI n° 10, « Devoir de vigilance relatif à la clientèle », dont la déclinaison française est fixée par les articles R. 561-5 et suivants du CMF).
Préparée en concertation avec les équipes de la Banque mondiale et après consultation du secteur privé, la Guidance reconnaît l’importance des identités numériques dans les parcours d’entrée en relation et met l’accent sur leurs atouts (réduction des erreurs humaines et des coûts d’entrée en relation, meilleur contrôle des opérations, facteur d’inclusion financière, etc.) sans éluder les difficultés et risques de leur mise en œuvre. La conséquence opérationnelle la plus nette de cette analyse est l’abandon du principe général d’un risque plus élevé lorsque l’entrée en relation n’implique pas la présence physique des parties (cf. recommandation GAFI n° 15).
Elle offre également à l’attention des établissements assujettis aux règles LCB-FT un cadre d’analyse des schémas d’identité numérique centré sur un « processus décisionnel » construit autour de leurs niveaux de garantie (levels of assurance) et visant à mettre en œuvre l’approche par les risques en trois étapes (voir Schéma).
L’approche par les risques est donc au cœur du dispositif d’analyse préconisé par le GAFI, avec la conséquence que des situations de risque limité peuvent explicitement justifier l’utilisation de schémas d’identité numérique présentant un niveau de garantie faible, tout particulièrement lorsque ceux-ci permettent une meilleure inclusion financière de populations ayant des difficultés structurelles à justifier leur identité – une situation à vrai dire très courante dans plusieurs régions du monde.
Enfin, la Guidance fournit en annexe un intéressant cadre d’analyse des principaux schémas d’identités numériques existants dans le monde ainsi qu’une présentation des deux principaux standards existants pour les niveaux de garantie (NIST aux États-Unis et eIDAS en Europe).
