Objet de l’identification et de la vérification de l’identité : commentaires et recommandations

Introduction : l’approche fondée sur les risques dans l’exécution des obligations d’identification et de vérification de l’identité des personnes impliquées dans une relation d’affaires ou une opération occasionnelle

Alors que la réglementation antérieure en matière de LBC/FT détaillait les modalités requises d’exécution des obligations d’identification et de vérification de l’identité des clients, mandataires et bénéficiaires effectifs sans faire référence au niveau des risques de BC/FT associés à la relation d’affaires ou à l’opération occasionnelle considérée, la Loi anti-blanchiment étend les principes de l’approche fondée sur les risques à l’ensemble des obligations de vigilance, y compris l’obligation d’identifier et de vérifier l’identité des personnes impliquées. Dans ses articles 26 et 27, la Loi (i) définit les objectifs à atteindre dans l’exécution de ces obligations, (ii) établit le niveau d’exigences dans les cas de « risque standard », (iii) impose de renforcer ces exigences dans les situations de risques élevés, et (iv) autorise de les alléger dans les situations de risques faibles. En revanche, l’exemption des obligations d’identification et de vérification de l’identité dans certains cas (le client ou son bénéficiaire effectif est une institution financière belge ou européenne, une autorité publique, etc), anciennement prévue à l’article 11 de la loi du 11 janvier 1993, a été supprimée, cette présomption légale de faible risque étant contraire à l’approche fondée sur les risques. Il est aussi à relever que ni la Loi anti-blanchiment, ni le Règlement BNB anti-blanchiment n’énumèrent de manière précise, uniforme et prescriptive les documents probants ou sources fiables et indépendantes d’informations auxquels il peut ou doit être recouru pour satisfaire à l’obligation de vérification de l’identité des personnes impliquées ; bien que la Loi autorise explicitement qu’il soit recouru à certains moyens d’identification électroniques, le degré de certitude auquel il est requis de parvenir quant à l’identité des personnes impliquées est à déterminer en fonction du niveau de risques identifié en l’espèce.

En conséquence, il appartient à chaque institution financière assujettie d’intégrer dans sa politique de gestion des risques de BC/FT un cadre de référence adéquat pour l’application de l’approche fondée sur les risques qu’elle met en œuvre en matière d’identification et de vérification de l’identité des personnes impliquées. Ce cadre de référence doit être établi en tenant pleinement compte de l’analyse globale des risques et de la classification des risques de l’institution financière. Ce cadre de référence doit ensuite servir de base pour l’établissement des procédures internes de l’institution financière en la matière.

A cette fin, comme indiqué à la page Politiques, procédures, processus et mesures de contrôle interne, la BNB recommande que la procédure relative aux mesures de vigilance à l’égard de la clientèle et des opérations (volet « identification et vérification de l’identité des clients, mandataires et bénéficiaires effectifs ») inclut, d’une part, un tableau de correspondance des documents probants admis par classe de risque et , d’autre part, la liste des circonstances dans lesquelles certains documents probants peuvent ne pas être produits.

Concernant ce dernier point, à titre d’exemples, des documents présentant une valeur probante faible pourraient être admis lorsque l’une des mesures permettant de réduire les risques de BC/FT reprises ci-dessous s’appliquent, dans le cadre d’une relation d’affaires présentant des risques de BC/FT faibles :

  • l’exclusion de toute opération impliquant la manipulation d'espèces,
  • l’exclusion des transferts de fonds transfrontaliers,
  • l’autorisation des mouvements de fonds uniquement à destination ou en provenance d’un unique compte ouvert au nom du même client auprès d’un établissement de crédit belge ou européen,
  • le plafonnement par période et/ou par opération du montant des mouvements de fonds autorisés,
  • une forte limitation de l’offre d’instruments de paiement liés au compte,
  • etc.

En outre, des mesures de restrictions sont également prévues dans la législation sur les services bancaires de base (chapitre 8 du titre 3 du livre VII du Code de droit économique).

Par ailleurs, il est rappelé que, par application de l’article 17, alinéa 2, de la Loi anti-blanchiment, les institutions financières doivent être à même de démontrer à la BNB que leur cadre de référence et les procédures qui sont établies sur cette base sont appropriés au regard des risques de BC/FT que leurs évaluations globales des risques les ont amenées à recenser. Il est renvoyé à cet égard à la page Politiques, procédures, processus et mesures de contrôle interne. De plus, conformément à l’article 19, § 2, alinéa 3, de la Loi anti-blanchiment, les institutions financières doivent être à même de démontrer à la BNB que les mesures de vigilance effectivement mises en œuvre, par application de ces procédures, dans le cadre de chacune de leurs relations d’affaires avec les clients ou de chacune des opérations occasionnelles qu’elles exécutent pour eux sont appropriées au regard du niveau des risques de BC/FT identifiés par l’évaluation individuelle des risques.

La BNB considère que les procédures internes fondées sur ce cadre de référence doivent être contraignantes pour l’ensemble des collaborateurs de l’institution financière, qu’ils soient préposés, agents ou distributeurs. Il s’ensuit notamment que, sans préjudice des conséquences d’une reclassification justifiée sur la base de l’évaluation individuelle des risques, aucun allègement des devoirs d’identification et de vérification de l’identité des personnes impliquées ne peut être admis dans des cas individuels en raison des faibles risques de BC/FT si cet allègement n’est pas autorisé et précisé quant à sa portée et à ses modalités dans les procédures internes.

1. Objectifs des obligations d’identification et de vérification de l’identité des personnes impliquées

Conformément aux articles 26, § 1er, et 27, § 1er, de la Loi anti-blanchiment, satisfaire aux obligations d’identification et de vérification de l’identité des personnes impliquées suppose (i) de  recueillir les informations pertinentes relatives à ces personnes qui permettent de les distinguer de toute autre personne de façon suffisamment certaine, et (ii) dans le but d’acquérir un degré suffisant de certitude quant à l’identité des personnes concernées, de confronter tout ou partie des données d’identification recueillies à un ou plusieurs documents probants ou sources fiables et indépendantes d’information permettant de confirmer ces données, notamment aux informations recueillies, le cas échéant, par le recours à certains moyens d’identification électroniques.

Ces objectifs doivent être poursuivis quel que soit le niveau des risques de BC/FT attachés à la relation d’affaires ou à l’opération considérée, mais le degré de certitude auquel il est requis de parvenir est déterminé en fonction du niveau de risques alloué sur la base de l’évaluation individuelle des risques.

2. Cas des risques « standards »

2.1 Notion de « risques standards »

Par « risques standards », on entend ici toutes les situations qui ne sont pas reconnues dans le cadre de l’évaluation individuelle des risques visée à l’article 19, § 2, de la Loi anti-blanchiment comme présentant des risques élevés.

Les situations qui ne présentent que de faibles risques de BC/FT ne peuvent être exclues de la notion de risques standards qu’à la condition que l’évaluation globale des risques visée à l’article 16 de la Loi anti-blanchiment ait spécifiquement recensé ces situations de risques faibles et que les procédures internes de l’institution financière en matière de LBC/FTP aient précisé de manière expresse les mesures allégées de vigilance qui peuvent être appliquées lorsque l’évaluation individuelle des risques conclut à l’existence d’un faible niveau de risques.

2.2 Données d’identification

Les données relatives à la personne concernée qui doivent être recueillies pour procéder à son identification sont énumérées à l’article 26, § 2, de la Loi anti-blanchiment, auquel il est renvoyé.

Concernant les personnes physiques, dont le lieu de naissance – notamment – doit être recueilli par les institutions financières, il est souligné que la donnée ainsi recueillie ne peut être limitée au seul pays de naissance, sauf les cas spécifiquement justifiés de l’indisponibilité d’un lieu de naissance plus précis.

S’agissant de l’adresse des personnes physiques, ainsi que du lieu et de la date de naissance des bénéficiaires effectifs, ces données d’identification ne doivent être recueillies que « dans la mesure du possible ». La BNB estime que les procédures internes en matière de LBC/FT de chaque institution financière doivent préciser les mesures à prendre par les collaborateurs lorsque les mesures ordinaires de collecte de ces données ne permettent pas de les recueillir, afin de pouvoir documenter, le cas échéant, l’impossibilité de les inclure dans l’identification de la personne concernée.

L’attention est en outre attirée sur le fait que par application du Règlement européen sur les transferts de fonds (article 4.1), certaines données d’identification doivent obligatoirement accompagner les transferts de fonds, à savoir (i) le nom du donneur d’ordre, (ii) son numéro de compte de paiement, et (iii) l’un des éléments complémentaires suivants : son adresse, le numéro de son document d’identité officiel, son numéro d’identification, ou la date et le lieu de sa naissance. Pour le surplus, il est renvoyé à la page Transferts de fonds.

2.3 Vérification de l’identité

2.3.1 Données d’identification devant être vérifiées

Conformément à l’article 27, § 2, de la Loi anti-blanchiment, toutes les données d’identification recueillies concernant la personne concernée doivent être confrontées à des documents probants ou à des sources fiables et indépendantes d’informations afin de confirmer leur exactitude.

S’agissant de l’adresse du client ou de ses date et lieu de naissance, l’attention est attirée sur le fait que le Règlement européen sur les transferts de fonds requiert également que cette donnée d’identification, si elle a été choisie par le service de paiement du donneur d’ordre comme accompagnant un transfert (cf. article 4.1 du Règlement précité et supra, point 2.2),  soit vérifiée par le service de paiement du donneur d’ordre avant d’être transmise en même temps que les fonds au service de paiement du bénéficiaire, de la même manière que doivent être vérifiés les nom, prénom, et numéro de compte du donneur d’ordre (cf. Article 4.4 du Règlement précité). Toutefois, si ces données d’identification ont déjà été vérifiées dans le cadre de l’exécution des devoirs de vigilance en application de l’article 27, § 2, de la loi (par exemple lors de l’entrée en relation d’affaires) et que les informations obtenues lors de cette vérification ont été conservées conformément aux exigences légales (voir la page Conservation des données et documents) et tenues à jour conformément aux obligations légales (voir point 5. ci-dessous), elles ne doivent plus faire l’objet d’une vérification ultérieure lors de chaque transfert de fonds (article 4.5 du Règlement précité). A contrario, si le nom et le prénom du client, son numéro de compte, son adresse ou sa date et son lieu de naissance n’ont pas été vérifiés préalablement au transfert de fonds (par exemple, ces données n’ont pas été vérifiées lors de l’entrée en relation d’affaires car celle-ci a été évaluée comme présentant un niveau faible de risque de BC/FT) elles doivent donc, comme toute donnée d’identification, faire l’objet d’une vérification avant d’être jointe audit transfert. Pour le surplus, il est renvoyé à la page Transferts de fonds.

2.3.2 Documents probants et sources fiables et indépendantes d’information

a) Commentaires généraux

Ni la Loi anti-blanchiment, ni le Règlement BNB anti-blanchiment n’énumèrent de manière précise, uniforme et prescriptive les documents probants ou les sources fiables d’informations auxquelles il peut ou doit être recouru pour procéder à la vérification des données d’identification de la personne concernée. La Loi autorise cependant explicitement la confrontation de ces données aux informations obtenues, le cas échéant :

  • par l’utilisation de moyens d’identification électroniques proposés ou agréés au sein du service d’authentification conformément aux articles 9 et 10 de la loi du 18 juillet 2017 relative à l’identification électronique, confirmant l’identité des personnes online ; il peut s’agit, par exemple, d’une carte d’identité électronique qui sera lue avec un lecteur de carte, ou d’un moyen d’identification mobile sécurisé; ou
  • via les services de confiance pertinents prévus par le Règlement eIDAS ; des exemples de tels services de confiance sont les signatures électroniques ou les cachets électroniques.

Il appartient dès lors à chaque institution financière d’inclure dans ses procédures internes des règles précises concernant les documents probants ou sources fiables et indépendantes d’informations qu’elle accepte aux fins de la vérification de l’identité et qui doivent lui permettre d’acquérir, selon le niveau de risque identifié dans le cas d’espèce, un degré suffisant de certitude quant à l’identité des personnes concernées.

Ces règles doivent se fonder sur une évaluation du degré de fiabilité de chacun des documents probants ou de chaque source d’information afin de s’assurer qu’il est suffisant pour atteindre l’objectif fixé à l’article 27, § 1er, de la Loi anti-blanchiment. Même lorsqu’il est recouru à l’un des moyens d’identification électroniques expressément visés par la ladite Loi, il est attendu des institutions financières qu’elles appliquent les mesures nécessaires d’atténuation de tout risque pertinent découlant du recours à ces solutions, conformément au paragraphe 54 des orientations de l’ABE du 22 novembre 2022 sur l’utilisation de solutions d’entrée en relation d’affaires à distance.

Le cas échéant, le degré requis de fiabilité peut résulter du recours combiné à deux ou plusieurs documents probants.

Ainsi, à titre d’exemple, la BNB considère que les données d’identification accompagnant un transfert de fonds initial effectué au départ d’un compte bancaire ouvert au nom de la même personne auprès d’un autre établissement de crédit ne constituent pas, en tant que tel, un « document probant ou une source fiable d’information » qui puisse suffire pour satisfaire à l’obligation de vérification de l’identité du client. Toutefois, la vérification des données d’identification au moyen des informations transmises avec un tel transfert de fonds initial peut être utile pour corroborer le résultat de la vérification de ces données au moyen d’un autre document probant ou d’une autre source d’information et accroître, ainsi, le degré de fiabilité de la vérification opérée.

S’agissant de la vérification de l’adresse, la BNB estime que les procédures internes des institutions financières devraient déterminer de manière suffisamment précise les mesures à prendre pour satisfaire à cette obligation légale. Lorsque les informations pertinentes concernant l'adresse du client sont fournies par le document probant utilisé pour vérifier l'identité du client, ce document devrait logiquement aussi constituer la source des informations pertinentes concernant son adresse. Si cela n'est pas possible (notamment lorsque l'adresse du client n'est pas mentionnée par ce document probant), les procédures internes devraient déterminer de quelle manière cette information peut être obtenue. Dans ces cas, la simple déclaration signée du client, mandataire ou bénéficiaire effectif concernant son adresse peut, en règle générale, être satisfaisante lorsque le client, la relation d'affaires ou l'opération ne présente pas de risques élevés de BC/FT.

Pour plus d’informations sur les moyens d’identification électroniques explicitement autorisés conformément à l’article 27, § 1er, de la Loi anti-blanchiment, il est renvoyé au commentaire de l’exposé des motifs de la loi modificative du 20 juillet 2020 (voir la page Principaux documents de référence).

La BNB recommande en outre de prendre notamment en considération les commentaires ci-dessous.

b) Vérification de l’identité des personnes physiques

§1er. Carte d’identité et passeport

Lorsque la personne à identifier est une personne physique faisant l’objet d’une identification face-à-face, la BNB recommande que la vérification de son identité soit effectuée, en règle générale, au moyen de ses documents officiels d’identité en cours de validité, à savoir sa carte d’identité ou, le cas échéant, son passeport. Il est à relever que ces documents probants comportent une photographie de leur titulaire légitime et permettent donc un contrôle visuel susceptible de réduire le risque d’usurpation d’identité.

Cette mesure apparaît particulièrement pertinente en ce qui concerne les personnes ayant leur domicile en Belgique et qui sont détentrices d’une carte d’identité émise par les autorités belges. En cas de doute quant à la légitimité de la présentation d’une carte d’identité, il est néanmoins recommandé de vérifier qu’elle n’est pas renseignée comme volée ou perdue dans la base de données ad hoc du SPF Intérieur (voir le site : https://www.checkdoc.be).

Lorsque les institutions financières procèdent à la vérification de l'identité du client par la lecture électronique des données enregistrées sur le microprocesseur de sa carte d'identité, il est nécessaire de procéder également à une vérification électronique simultanée que les données figurant sur la puce sont signées électroniquement par le Registre national. A cet égard, il est recommandé que les procédures informatiques mises en œuvre soient conçues en manière telle que cette vérification soit opérée systématiquement et automatiquement, sans requérir d’intervention du préposé ou de l’agent qui procède à l’identification, et sans qu’il ne dispose de la faculté de désactiver ce contrôle. De plus, un contrôle de la conformité des données enregistrées sur la puce avec celles lisiblement mentionnées sur la carte d'identité peut s'avérer utile pour détecter d'éventuelles falsifications. Enfin, il convient de s'assurer que le certificat n'a pas été révoqué par le Registre national.

Lorsque la vérification est effectuée au moyen du passeport du client, des mesures adéquates devraient être prescrites pour s’assurer que ce document correspond aux spécifications des passeports émis par le pays étranger concerné. Il convient en outre de procéder à un contrôle permettant de conclure raisonnablement que le passeport présenté n’a pas été contrefait ou falsifié.

La vérification des données d’identification au moyen des informations enregistrées sur le microprocesseur de la carte d'identité électronique belge est également possible à distance. On relèvera néanmoins que le degré de fiabilité de cette vérification peut être moins élevé que lors d’une vérification face-à-face, dans la mesure elle ne permet pas un contrôle visuel, grâce à la photographie que comporte le document probant, que la personne qui s’en prévaut en est bien le titulaire légitime. Il peut donc s’avérer nécessaire de vérifier systématiquement la légitimité de la présentation de ce document probant par la consultation du site https://www.checkdoc.be. Il appartient en outre à l’institution financière qui prévoit ce mode de vérification de l’identité des personnes impliquées de mettre en œuvre des mesures lui permettant de s’assurer que l’objectif fixé à l’article 27, § 1er, de la Loi anti-blanchiment est atteint nonobstant l’absence de contrôle visuel, le cas échéant, en mettant en œuvre une mesure complémentaire de vérification.

§2. Autres documents officiels

Dans des cas spécifiques énumérés par les procédures internes, par exemple lorsque la carte d'identité du client ou son passeport sont en cours d'émission, d'autres documents émis par des autorités belges ou étrangères pourraient être admis comme documents probants dans l'attente que la vérification puisse être ultérieurement opérée au moyen de la carte d'identité du client.

Lorsque le client est un enfant mineur âgé de moins de 12 ans qui ne dispose pas encore obligatoirement d'une carte d'identité (« Kids-ID »), et dans l’attente que son identité puisse être vérifiée à l'époque de son 12ème anniversaire au moyen de sa carte d’identité lorsqu'elle lui sera délivrée, il est recommandé de recourir à d’autres documents officiels tels que son certificat d’inscription au registre de la population délivré par sa commune de résidence, une copie d’acte de naissance ou le livret de mariage de ses parents.

L'identité des personnes de nationalité étrangère établies en Belgique qui ne possèdent pas de carte d’identité ou de passeport peut être valablement vérifiée au moyen d’un document qui leur est délivré par les autorités belges en fonction de leur statut sur le territoire belge. Sont notamment ici visés les titres de séjour ainsi que les autres documents repris dans les annexes de l’arrêté royal du 8 octobre 1981 concernant l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers. A cet égard, il est relevé que si un titre de séjour remis par l’Etat belge peut être considéré comme suffisant, les autres documents visés dans les annexes à l'arrêté royal du 8 octobre 1981 concernant l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers peuvent être considérés comme présentant un moindre degré de fiabilité. De tels documents ne pourraient être acceptés comme documents probants dans des situations de risques standards que pour autant qu’ils soient corroborés par d’autres documents probants, et ce sans préjudice des mesures d’encadrement de la relation d’affaires ou de l’opération qui permettent de la considérer à faible risque (cf. infra).

§3. Recours à des instruments technologiques innovants autres que les moyens d’identification électroniques visés par la Loi anti-blanchiment

Lorsqu’une institution financière entend recourir à une technologie innovante afin de procéder à la vérification de l’identité des personnes impliquées dans les relations d’affaires ou les opérations occasionnelles, autre que les moyens d’identification électroniques visés à l’article 27, § 1er, de la Loi anti-blanchiment, il lui appartient de se conformer à l’article 12, 1°, alinéa 2, du Règlement BNB anti-blanchiment qui prescrit que l’acceptation de nouvelles technologies au titre d’instruments de vérification de l’identité de ces personnes doit reposer sur une analyse préalable, réalisée par l’institution financière elle-même, de la fiabilité de ces nouveaux instruments au regard de l’objectif fixé par l’article 27, § 1er, de la Loi anti-blanchiment. La BNB s’attend à ce que cette analyse soit correctement documentée et qu’elle soit conservée de manière à pouvoir lui être communiquée, à sa demande.

La BNB recommande en outre de tenir pleinement compte de l’opinion des AES du 23 janvier 2018 relative à l’utilisation de solutions innovantes ainsi que des orientations de l’ABE du 1er mars 2021 sur les facteurs de risque de blanchiment de capitaux et de financement du terrorisme (cf. notamment les paragraphes 4.26 à 4.37 des orientations).

De même, les orientations de l’ABE du 22 novembre 2022 sur les solutions d’entrée en relation d’affaires à distance précisent les étapes que les institutions financières devraient suivre avant d'adopter une nouvelle solution d’entrée en relation d’affaires à distance.

Ces orientations apportent ainsi des précisions quant à la portée attendue de l’analyse requise par l’article 12, 1°, alinéa 2, du Règlement BNB anti-blanchiment. L'évaluation devrait comprendre en particulier plusieurs éléments clés :

  1. une évaluation de l'adéquation de la solution en ce qui concerne l'exhaustivité et l'exactitude des données d’identification et des documents à collecter, ainsi que la fiabilité et l'indépendance des sources d'information qu'elle utilise ;
  2. une évaluation de l'impact de l'utilisation de la solution d’entrée en relation d’affaires à distance sur les risques à l'échelle de l’institution, y compris les risques de BC/FTP, opérationnels, de réputation et juridiques ;
  3. l’identification des mesures d'atténuation et les actions correctives pour chaque risque identifié lors de l'évaluation ;
  4. des tests pour évaluer les risques de fraude, y compris les risques de fraude par usurpation d'identité et d'autres risques liés aux technologies de l'information et de la communication et à la sécurité ;
  5. enfin, des essais de bout en bout du fonctionnement de la solution ciblant les clients, produits et services identifiés dans les politiques et procédures d’entrée en relation d’affaires à distance (cf. section 2.2.2.A. de la page « Procédure d’identification et de vérification de l’identité des clients, mandataires et bénéficiaires effectifs »).

Il est attendu des institutions financières qu’elles considèrent que les critères susvisés aux points (a), (d) et (e) sont respectés lorsque la solution utilise l'un des éléments suivants :

  • des schémas d'identification électronique notifiés conformément à l'article 9 du règlement eIDAS et répondant aux exigences des niveaux d'assurance 'substantiels' ou 'élevés' conformément à l'article 8 de ce règlement ;
  • des services de confiance qualifiés pertinents qui répondent aux exigences du règlement eIDAS, en particulier le chapitre III, section 3 et l'article 24 (1), alinéa 2, point (b) de ce règlement.

Les institutions financières ne devraient commencer à utiliser une solution d’entrée en relation d’affaires à distance qu'après s'être assurées qu'elle peut être intégrée dans leur système de contrôle interne plus large, leur permettant ainsi de gérer de manière adéquate les risques de BC/FTP pouvant résulter de l'utilisation de la solution en question.

Il est rappelé que l’article 19, § 2, alinéa 3, de la Loi anti-blanchiment dispose que les entités assujetties sont tenues de faire en sorte « d'être en mesure de démontrer aux autorités de contrôle compétentes en vertu de l'article 85 que les mesures de vigilance qu'elles appliquent sont appropriées au regard des risques de BC/FT qu'elles ont identifiés ». Cela inclut d’être en mesure de démontrer à la BNB les évaluations qu'elles ont réalisées avant la mise en œuvre de la solution d’entrée en relation d’affaires à distance, le résultat de leur évaluation et comment l’utilisation de la solution est appropriée au regard des risques de BC/FTP identifiés pour les types de clients, de services, de géographies et de produits dans son champ d'application (voir également la page « Pouvoirs, mesures et politique de contrôle de la BNB »).

Pour un aperçu plus détaillé des attentes relatives à l’utilisation de solutions d’entrée en relation d’affaires à distance des clients, il est également renvoyé au texte des orientations de l’ABE du 22 novembre 2022 sur les solutions d’entrée en relation d’affaires à distance, en ce qui concerne notamment :

  • le champ d’application et les modalités de mise en œuvre de l’évaluation de la solution d’entrée en relation d’affaires à distance (§§ 20 et 21 des orientations susvisées) ;
  • les conditions procédurales et techniques auxquelles la solution et le processus d’entrée en relation d’affaires à distance devraient répondre (§§ 24 à 26, 28, 30 à 32, 35, 36 et 38 des orientations) ;
  • les attentes en matière d’inclusion financière, compte tenu du contexte d’entrée en relation à distance (§ 37 des orientations) ;
  • les attentes relatives au recours à certaines données, processus et technologies spécifiques d’identification (§§ 39 à 43 et 45 des orientations) ;
  • les mesures de contrôle additionnelles que les institutions financières devraient mettre en œuvre en vue de renforcer la fiabilité du processus de vérification, lorsque cela est justifié au vu des risques de BC/FTP en présence (§ 44 des orientations) ;
  • la gestion des risques liés aux technologies de l'information et de la communication et à la sécurité (§§ 50 à 53).
     

§4. Copies de documents probants et consultation du Registre national

La photocopie ou l’image électronique d’un document probant (notamment la carte d’identité ou le passeport) de la personne concernée ne présente manifestement pas le même degré de fiabilité que l’original du document probant lui-même.

Dans cette situation, les institutions financières devraient au moins prendre des mesures appropriées pour s’assurer que la reproduction est fiable et contrôler :

  • que la reproduction comprenne les caractéristiques de sécurité intégrées dans le document original et que les spécifications du document original qui sont reproduites soient valides et acceptables, en particulier le type, la taille des caractères et la structure du document, en les comparant avec des bases de données officielles ;
  • que les données personnelles n’aient pas été modifiées ou manipulées ou que la photo du client intégrée dans le document n'ait pas été remplacée ;
  • que l'intégrité de l'algorithme utilisé pour générer le numéro d'identification unique du document original soit respectée, dans le cas où le document officiel a été émis avec une zone de lecture automatique (ZLA). Par ailleurs, lorsque les institutions financières utilisent des fonctionnalités pour lire automatiquement les informations à partir de documents, comme les algorithmes de reconnaissance optique de caractères (ROC) ou les vérifications par ZLA, elles doivent prendre les mesures nécessaires pour garantir que ces outils capturent les informations de manière précise et cohérente ;
  • que la reproduction fournie soit de qualité et de définition suffisantes pour garantir que les informations pertinentes soient sans équivoque ;
  • que la reproduction fournie n'ait pas été affichée sur un écran à partir d'une photographie ou d'une numérisation du document d'identité original.

 

Il se peut également que la production combinée d’une simple copie ou image électronique de la carte d’identité ou du passeport de la personne concernée et d’un autre document probant permette d’atteindre un degré accru de fiabilité.

En tout état de cause, par application de l’article 19, § 2, alinéa 3, de la Loi anti-blanchiment, il appartient à l’institution financière qui prévoit de telles modalités de vérification de l’identité des clients d’être à même de démontrer que le degré global de fiabilité de la vérification ainsi obtenu est adéquat, tenant compte du niveau de risque de BC/FTP.

L’article 28 de la Loi anti-blanchiment accorde en outre aux institutions financières le droit de consulter indirectement le Registre national pour corroborer une copie de document probant et de vérifier l'identité des personnes concernées (à savoir, les clients, leurs mandataires et leurs bénéficiaires effectifs) lorsque ces personnes ne sont pas physiquement présentes lors de leur identification. Tel est le cas lorsque des relations d'affaires ou des opérations sont nouées à distance avec un client, lorsque l'identification et la vérification porte sur des bénéficiaires effectifs du client, ou lors de la mise à jour des données d'identification de clients ou de bénéficiaires effectifs qui ne sont pas présents au moment d'y procéder.

Néanmoins, dans ces situations, on relèvera qu’en l’absence de contact visuel avec la personne qui adresse la copie du document probant, il n’est pas possible à l’institution financière de s’assurer au moyen de la photographie que comporte le document probant que la personne qui en fait usage en est le titulaire légitime. Tout comme dans le cas de l’utilisation de la carte d’identité électronique pour procéder à la vérification à distance de l’identité d’une personne impliquée, il appartient donc à l’institution financière qui prévoit la vérification de l’identité des personnes impliquées au moyen d’une copie de document probant corroborée par la consultation du Registre national de s’assurer, et d’être à même de démontrer, que l’objectif fixé à l’article 27, § 1er, de la Loi anti-blanchiment est néanmoins atteint ou, le cas échéant, d’exiger l’application d’une mesure complémentaire de vérification permettant d’atteindre le degré requis de fiabilité.

Sur le plan de la procédure, l'accès aux données du Registre national ainsi accordé par la Loi aux institutions financières est indirect et requiert l'intervention des associations professionnelles désignées par le Roi ou des institutions créées par elles pour offrir ce service. Le parallélisme établi avec les dispositions légales relatives aux comptes, coffres et contrats d'assurance dormants vise à permettre que les mêmes outils et procédures mis en œuvre par les associations professionnelles puissent être mis à la disposition des organismes financiers pour leur permettre de satisfaire à leurs obligations, indifféremment, dans le cadre de l'une ou de l'autre de ces législations.

Il convient cependant de souligner que les données pouvant être consultées auprès du Registre national dans le cadre de l'une et de l'autre de ces législations pourront être différentes. Cette procédure de consultation des données du Registre national ne peut être utilisée, dans les circonstances précitées, que pour la seule vérification des données d'identification qui est requise par ou en vertu de la Loi anti-blanchiment. De plus, le recours indirect aux données du Registre national pour vérifier l'identité des clients ou de leurs mandataires ou bénéficiaires effectifs conformément à la Loi anti-blanchiment demeure soumis, par ailleurs, aux dispositions de la loi du 8 août 1983 organisant un registre national des personnes physiques, ainsi qu’au Règlement général sur la protection des données (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE) et à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Pour la correcte application de ces législations, il y a lieu de se référer aux décisions, avis et recommandations de l'Autorité de protection des données (APD) en la matière. L'attention est notamment attirée sur le fait que l'APD estime qu'il est préférable, lorsque cela est possible, d'effectuer le contrôle à distance de l'identité en recourant aux fonctionnalités de la carte d'identité électronique, plutôt que par un recours au Registre national.

§5. Consultation du registre des bénéficiaires effectifs

Les articles 73 et suivants de la Loi anti-blanchiment créent un registre centralisé des bénéficiaires effectifs (« registre UBO »). L’objectif consiste à fournir une assistance utile aux différentes parties prenantes de la LBC/FT, en ce compris les entités assujetties, pour l’identification et la vérification de l’identité des bénéficiaires effectifs des sociétés et constructions juridiques.

Ainsi, l’article 29 de la Loi anti-blanchiment impose aux institutions financières, lorsqu’elles entrent en relation d’affaires avec des sociétés constituées en Belgique, des trusts, des fondations et associations (internationales) sans but lucratif ou des constructions juridiques similaires aux fiducies ou aux trusts, de recueillir la preuve de l’enregistrement, dans le registre des bénéficiaires effectifs, des informations concernant ceux-ci ou un extrait dudit registre.

Néanmoins, il convient de relever que l’article 29 de la Loi anti-blanchiment n’autorise pas les entités assujetties de s’appuyer uniquement sur la consultation ou un extrait de ce registre pour identifier et vérifier l’identité des bénéficiaires effectifs, mais leur impose de prendre des mesures complémentaires pour corroborer les données obtenues par consultation du registre. La nature de ces mesures doit être déterminée sur la base d’une approche fondée sur les risques (risk based).

Dans les situations de risque faible et standard, la BNB recommande que ces mesures complémentaires comprennent au moins que l’entité assujettie effectue des démarches auprès du client visant à obtenir les informations pertinentes quant à l’identité de ses bénéficiaires effectifs ainsi que des documents probants de l’identité de ces personnes ou la confirmation que les informations figurant dans le registre UBO sont exactes, actuelles et complètes. Ces mesures peuvent aussi inclure la consultation des informations publiées sur internet ou de toutes autres informations  disponibles, qu’elles soient publiques ou, par exemple, disponibles auprès de consultants externes moyennant paiement.

c) Vérification de l’identité des sociétés et personnes morales

D’une manière générale, dans les situations de risque standard, la BNB recommande que la vérification des données d’identification des sociétés et personnes morales de droit belge s’opère en ayant recours aux documents généralement admis en droit belge comme faisant preuve de leur existence, tels que les derniers statuts coordonnés ou les statuts à jour de la société ou de la personne morale qui ont été déposés au greffe du Tribunal de commerce ou publiés aux annexes du Moniteur belge.

S’agissant de la liste des administrateurs des sociétés et personnes morales de droit belge, les institutions financières devraient avoir recours à la publication de leur nomination au Moniteur belge. D’autres documents peuvent aussi être admis, tels que la publication au Moniteur belge d’actes notariés faisant mention de ces personnes en tant qu’administrateurs, ou les comptes annuels déposés à la BNB.

S’agissant des dispositions régissant le pouvoir d’engager la société ou la personne morale de droit belge, elles devraient être établies grâce à la dernière publication au Moniteur belge des pouvoirs de représentation de cette société ou personne morale.

Pour la vérification de l’identité des sociétés et personnes morales de droit étranger, les institutions financières devraient avoir recours aux documents probants équivalents à ceux énumérés ci-dessus qui sont prévus conformément à la loi nationale applicable à ces sociétés et personnes morales. Le cas échéant, ces documents probants devraient être complétés d’une traduction fiable de ces documents dans une des langues nationales ou en anglais.

Ces documents probants peuvent être obtenus soit auprès du client lui-même, soit auprès de sources officielles telles que le Moniteur belge ou auprès de toutes autres sources d’information pouvant être considérés comme fiables, telles que la Banque-Carrefour des Entreprises créée par la loi du 16 janvier 2003, ou d’autres sources de même nature créées par les Etats dont relèvent les sociétés et personnes morales étrangères.

Les institutions financières peuvent également avoir recours, le cas échéant, aux moyens d’identification électroniques visés à l’article 27, § 1er, de la Loi anti-blanchiment. Par ailleurs, toute institution financière qui utilise une solution d’entrée en relation à distance, au sens des orientations de l'ABE du 22 novembre 2022, avec des clients qui sont des sociétés ou personnes morales, devrait s'assurer que cette solution respecte les conditions énoncées dans ces orientations.

d) Vérification de l’identité des constructions juridiques

Les institutions financières devraient procéder à la vérification des informations d’identification des constructions juridiques, telles que les trusts, au moyen de documents ayant valeur de preuve dans le droit qui est applicable à ce trust ou à cette construction juridique. Les règles à cet égard devraient être précisées dans les procédures internes de l’institution financière.

3. Cas des risques élevés

3.1 Notion de « risques élevés »

Par « risques élevés », on entend ici toutes les situations qui sont recensées en tant que telles par l’évaluation individuelle des risques requise par l’article 19, § 2, de la Loi anti-blanchiment. Ces situations incluent notamment celles dans lesquelles des mesures de vigilance renforcée sont requises par les articles 37 à 41 de la Loi anti-blanchiment.

3.2 Données d’identification

En vertu de l’article 26, § 4, de la Loi anti-blanchiment, lorsque l’évaluation individuelle des risques réalisée conformément à l’article 19, § 2, alinéa 1er, de la loi établit que le risque associé au client et à la relation d’affaires ou à l’opération est élevé, les institutions financières doivent s’assurer tout particulièrement que les données d’identification requises dans les situations de risque standards sont suffisantes pour distinguer de façon incontestable la personne concernée de toute autre. Si tel n’est pas le cas à suffisance, l’institution financière est tenue de recueillir des informations complémentaires pour atteindre ce résultat.

Lorsque la personne concernée est une personne physique, les informations complémentaires à recueillir pourraient concerner, par exemple, son activité professionnelle, sa nationalité, son sexe, etc. La procédure interne pourrait également prévoir un renforcement de l’obligation d’identification de l’adresse en exigeant que cette donnée qui, dans une situation de risque standard, ne doit légalement être recueillie que « dans la mesure du possible », doit obligatoirement être recueillie dans tous les cas de risques élevés. Les données additionnelles d’identification prévues par les procédures internes pourraient aussi inclure Ia date d’expiration du document probant utilisé pour la vérification de l’identité de la personne concernée. L’attention est attirée sur le fait qu’en incluant cette information dans la liste des données d’identification requises, l’institution financière s’astreint à procéder à la mise à jour de l’identification et de la vérification de l’identité de la personne concernée à l’échéance de la validité du document probant.

Pour les personnes morales, les données complémentaires d’identification pourraient inclure leur numéro d’entreprise ou, le cas échéant, leur « Legal Entity Identifier » si elles disposent d’un tel identifiant unique, leur secteur d’activité, le nombre et/ou les pays d’établissement de leurs sièges d’exploitation distincts du siège social, leurs éventuelles dénominations commerciales, etc.

Dans le cas de risques élevés, les établissements financiers doivent par ailleurs s’assurer qu’ils connaissent avec une certitude accrue les bénéficiaires effectifs du client. Les clients pourraient ainsi être invités à remplir un formulaire d’identification des bénéficiaires effectifs et à y joindre les documents probants nécessaires (voir au point 3.3. ci-dessous).

3.3 Vérification de l’identité

3.3.1 Données d’identification devant être vérifiées

En vertu de l’article 27, § 4, de la Loi anti-blanchiment, toutes les données d’identification recueillies doivent être vérifiées en recourant à des moyens de vérification particulièrement fiables.

3.3.2 Documents probants et sources fiables et indépendantes d’information

Dans les situations de risques élevés, les procédures internes ne devraient autoriser le recours qu’à ceux des documents probants admis dans les situations de risques standards (cf. supra) qui sont jugés les plus fiables ou, le cas échéant, imposer le recours à une combinaison de ces documents probants.

S’agissant de la vérification de l’identité de personnes physiques, il est recommandé de ne recourir qu’à des documents probants qui comportent une photographie de la personne à identifier et de requérir qu’un contrôle visuel soit opéré pour s’assurer que la personne qui présente le document probant en est le titulaire légitime.

Lorsque l’institution financière autorise le recours, dans des situations de risques élevés, à des technologies innovantes autres que les moyens d’identification électroniques expressément visés à l’article 27, § 1er, de la Loi anti-blanchiment (cf. supra), la BNB s’attend à ce qu’elle renforce les conditions et modalités d’application de cette autorisation.

A l’exception également des cas de recours aux moyens d’identification électroniques visés par la loi,  l’institution financière établira en outre son énumération des documents probants ou sources d’informations admis pour vérifier l’identité des personnes impliquées dans des situations de risques élevés sur la base d’une analyse approfondie de fiabilité de ces instruments de vérification, lui permettant de démontrer que leur degré élevé de fiabilité est approprié au regard du niveau élevé et de la nature du risque de BC/FT encouru.

La BNB note que, lorsque les risques de BC/FT sont élevés, l’importance de connaître avec un degré suffisant de certitude l’adresse du client est accrue, notamment en cas de matérialisation de ces risques. Elle estime donc qu’il est nécessaire de mettre en œuvre des mesures de vigilance renforcée permettant de confirmer l'exactitude de l'adresse communiquée par le client. Ces mesures pourraient par exemple consister dans l'envoi d'un courrier à l'adresse indiquée par le client, conditionnant l'entrée en vigueur de la relation d'affaires ou l'exécution de l'opération au renvoi par le client d'un accusé de réception attaché au courrier.

Dès lors que des risques de BC/FT élevés ont été identifiés dans le cadre de l’évaluation individuelle des risques, les informations et documents probants fournis par le client concernant ses bénéficiaires effectifs (cf. point 3.2 ci-dessus) devraient également faire l’objet d’un examen renforcé, incluant la confrontation des informations ainsi obtenues directement du client avec celles enregistrées dans le registre UBO et, dans la mesure du possible, avec les informations pouvant être obtenues auprès d’autres sources fiables et indépendantes.  

4. Cas des risques faibles

 4.1 Notion de « risques faibles »

Les allègements légalement autorisés des obligations d’identification et de vérification de l’identité des personnes impliquées dans les relations d’affaires ou les opérations occasionnelles à faible risque de BC/FT présupposent impérativement que l’institution financière fasse le choix, dans le cadre de sa politique de gestion des risques de BC/FT, de faire application de cette faculté et d’en déterminer les modalités dans ses procédures internes, d’une part, et que le faible niveau des risques soit dument reconnu par l’évaluation globale des risques requise par l’article 16 de la Loi anti-blanchiment et, dans chaque cas d’espèce où il est envisagé de les appliquer, par l’évaluation individuelle des risques requise par l’article 19, § 2, de la Loi, d’autre part.  A cet égard, des mesures permettant de réduire le niveau de risques de BC/FT existent, notamment dans la législation sur les services bancaires de base. Il est renvoyé à l’introduction de la présente page.

4.2 Données d’identification

Conformément à l’article 26, § 3, de la Loi anti-blanchiment, les procédures internes des institutions financières peuvent réduire le nombre des données d’identification qui doivent être recueillies pour procéder à l’identification des personnes impliquées dans les situations de risque faible, par rapport à celles qui sont requises par la loi dans les situations de risque standard. Les informations recueillies doivent néanmoins demeurer suffisantes pour permettre de distinguer la personne concernée de toute autre personne de façon suffisamment certaine. Ainsi ne peut-il pas raisonnablement être envisagé que l’allègement porte sur le patronyme et le prénom d’une personne physique ou la dénomination d’une personne morale. Ces seules données d’identification ne permettant pas d’écarter un risque élevé d’homonymies, la BNB estime qu’il convient que, même dans les situations de faibles risques de BC/FT, les institutions financières recueillent au minimum une donnée d’identification complémentaire permettant de réduire ce risque d’homonymie. La BNB s’attend en outre à ce que les institutions financières qui souhaitent avoir recours à la faculté d’allègement de l’obligation d’identification dans les situations de faibles risques énumèrent de manière précise dans leurs procédures internes les données d’identification qui, en toute hypothèse, doivent au minimum être recueillies.

4.3 Vérification de l’identité

4.3.1 Données d’identification devant être vérifiées

Dans le cas de risques faibles de BC/FT établi par l’évaluation individuelle des risques requise par l’article 19, § 2, de la Loi anti-blanchiment, celle-ci autorise les institutions financières à réduire le nombre d’informations recueillies qu’elles vérifient. Les informations vérifiées doivent néanmoins demeurer suffisantes pour permettre à l’entité assujettie d’acquérir un degré suffisant de certitude quant à sa connaissance de la personne concernée. La BNB s’attend dès lors à ce que les institutions financières recourant à la faculté d’allègement de l’obligation de vérifier l’identité des personnes impliquées dans la relation d’affaires ou l’opération précisent dans leurs procédures internes les informations dont la vérification demeure obligatoire.

4.3.2 Documents probants et sources fiables et indépendantes d’information

Il va de soi que l’ensemble des documents probants et sources d’informations fiables et indépendantes que l’institution financière recense comme éligibles pour procéder à la vérification de l’identité des personnes impliquées dans une relation d’affaires ou une opération occasionnelle présentant un risque standard (cf. supra) sont aussi éligibles dans les situations de risques faibles.

Toutefois, lorsque l’évaluation individuelle des risques de BC/FT conclut que le niveau de ces risques est faible, les institutions financières peuvent qualifier d’éligibles certains documents dont ils estiment la valeur probante insuffisante pour être acceptés dans des situations de risque standard et, a fortiori, dans des situations de risques élevés.  

Ainsi, par exemple, lorsqu‘une personne de nationalité étrangère est établie en Belgique sans disposer d’une carte d’identité ou d’un certificat d’inscription au registre des étrangers, et compte tenu de la nécessité d’éviter d’exclure les personnes en situation précaire sur le territoire belge de l'accès aux services financiers, la BNB considère qu’il peut être admis de procéder à la vérification de son identité au moyen d’un des documents visés aux différentes annexes à l'arrêté royal du 8 octobre 1981 concernant l’accès au territoire, le séjour, l’établissement et l’éloignement des étrangers, qui seraient jugés ne présenter qu’un faible degré de fiabilité lorsque des mesures appropriées d’encadrement de la relation d’affaires ou de l’opération souhaitée permettent de réduire le niveau des risques de BC/FT qui y sont associés. Il est notamment renvoyé à cet égard à l’avis de l’Autorité bancaire européenne (ABE) on the application of customer due diligence measures to customers who are asylum seekers from higher-risk third countries (EBA-Op-2016-07) pour ce qui concerne la situation des demandeurs d’asile.  De même, bien que la simple copie ou l’image électronique d'un document probant ne présente pas, par elle-même, des caractéristiques de fiabilité suffisantes pour être acceptées comme document probant dans des situations de risque standard sans procéder à la vérification auprès du Registre national telle que prévue à l’article 28 de la Loi anti-blanchiment, elle pourrait être admise dans certaines circonstances en raison des limitations strictes entourant la relation d’affaires et qui permettent de réduire drastiquement les risques de BC/FT.  Quant aux mesures de restrictions permettant de réduire le niveau de risques de BC/FT lié à ces relations d’affaires, il est renvoyé à l’introduction de la présente page où il est notamment indiqué qu’il est attendu des institutions financières qu’elles reprennent dans leur procédure relative aux mesures de vigilance à l’égard de la clientèle et des opérations un tableau de correspondance des documents probants requis par classe de risques ainsi que les circonstances particulières dans lequelles certains documents probants peuvent ne pas être produits.

5. Actualisation de l’identification et de la vérification de l’identité des personnes impliquées

L’article 35, § 1er, 2°, de la Loi anti-blanchiment impose aux entités assujetties de mettre à jour les données d’identification qu’elles détiennent dans le cadre de leurs relations d’affaires, notamment lorsque des éléments pertinents au regard de l’évaluation individuelle des risques visée à l’article 19, § 2, de la Loi sont modifiés. Il est renvoyé à cet égard à la page Vigilance à l’égard des relations d’affaires et des opérations occasionnelles et détection des faits et opérations atypiques.

Cette obligation d’actualisation impose également qu’en cas de transfert de fonds, les données d’identification recueillies et vérifiées antérieurement au cours d’une relation d’affaires fassent l’objet d’une nouvelle vérification à l’occasion du transfert concerné, si des éléments pertinents au regard de l’évaluation individuelle des risques sont modifiés.

6. Impossibilité de remplir les obligations d’identification et de vérification de l’identité des personnes impliquées

L’article 33 de la Loi anti-blanchiment dispose que, lorsque les entités assujetties ne peuvent satisfaire à leurs obligations d’identification et de vérification de l’identité d’un client, de ses mandataires ou de ses bénéficiaires effectifs dans les délais requis, elles ne peuvent ni nouer la relation d’affaires, ni effectuer d’opération pour ce client. Il est renvoyé à cet égard à la page Non-respect de l’obligation d’identification et de vérification de l’identité.