IA KYC : Know Your Customer
⚠️ La Biométrie KYC Sous Surveillance
Onfido, Jumio, IDnow, Veriff… Votre KYC utilise de l’IA et probablement de la biométrie faciale. L’AI Act distingue VÉRIFICATION (1:1) et IDENTIFICATION (1:N) avec des niveaux de risque très différents.
Le KYC (Know Your Customer) est au cœur de la conformité réglementaire : lutte anti-blanchiment, financement du terrorisme, fraude… L’IA a révolutionné ces processus avec la vérification documentaire automatisée, la biométrie faciale, le scoring risque.
Le défi : l’AI Act s’ajoute à un environnement déjà très réglementé (LCB-FT, RGPD, eIDAS). Et la biométrie, pilier du KYC moderne, fait l’objet d’une attention particulière.
Ce guide vous explique comment classifier vos systèmes KYC, distinguer vérification et identification, et articuler AI Act avec vos obligations existantes.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Expert conformité et transformation digitale des services financiers.
📚 Dans Ce Guide KYC
- → Classification par type de vérification (1:1 vs 1:N)
- → Biométrie faciale : quand est-ce haut risque ?
- → Articulation AI Act / LCB-FT / RGPD
- → Cas pratiques : fintech, banque, assurance
- → Formation des équipes conformité
- → Plan de conformité en 5 étapes
Infographie : KYC IA et AI Act – Distinction vérification vs identification
🔐 Les Types de Vérification KYC et Leur Classification
Photo par Campaign Creators sur Unsplash
L’AI Act fait une distinction fondamentale entre VÉRIFICATION et IDENTIFICATION. Cette distinction est cruciale pour le KYC.
✅ Vérification 1:1 — Risque LIMITÉ
La vérification 1:1 consiste à confirmer que la personne A est bien la personne A. Pas de recherche dans une base.
- ✅ Selfie vs photo CNI — Comparer deux images de la même personne
- ✅ Liveness detection — Vérifier que c’est une vraie personne (pas une photo)
- ✅ Validation documentaire — CNI présentée = CNI déclarée
- ✅ Signature électronique — Confirmer l’identité du signataire
💡 Bonne Nouvelle
La majorité du KYC utilise la vérification 1:1. C’est du risque limité. Obligation principale : transparence (informer le client) et formation des équipes.
⚠️ Identification 1:N — Potentiellement HAUT RISQUE
L’identification 1:N consiste à rechercher une personne parmi N personnes. C’est une recherche dans une base.
- ⚠️ Recherche dans liste noire — PEP, sanctions, terrorisme
- ⚠️ Comparaison base clients — Détecter les doublons frauduleux
- ⚠️ Identification policière — Hors scope KYC commercial
🚫 INTERDIT : Biométrie Temps Réel Espace Public
L’AI Act interdit l’identification biométrique à distance en temps réel dans les espaces accessibles au public (sauf exceptions police strictement encadrées). Ce n’est PAS applicable au KYC onboarding en ligne.
📊 Classification par Composant KYC
| Composant KYC | Fonction | Risque AI Act | Obligation principale |
|---|---|---|---|
| OCR documentaire | Extraction données CNI/passeport | Minimal | Formation |
| Détection falsification | Vérifier authenticité document | Limité | Transparence |
| Biométrie 1:1 | Selfie vs photo document | Limité | Transparence + Formation |
| Liveness detection | Anti-spoofing | Limité | Transparence |
| Scoring risque client | Évaluation profil | Limité à Vigilance | Documentation |
| Screening PEP/sanctions | Recherche listes | Limité | Transparence |
| Décision automatique refus | Acceptation/rejet auto | VIGILANCE à HAUT | Recours + Documentation |
« La biométrie KYC en 1:1 reste du risque limité. Ce qui change la donne, c’est quand la décision d’accès aux services financiers est entièrement automatisée sans possibilité de recours humain. »
— Directeur Conformité, Néobanque
⚖️ Articulation AI Act, LCB-FT et RGPD
Le KYC est déjà très réglementé. L’AI Act s’ajoute sans remplacer les obligations existantes.
📋 LCB-FT : L’Obligation de Vérifier
La réglementation Lutte Contre le Blanchiment et Financement du Terrorisme impose le KYC.
- 📋 Vérification d’identité — Obligatoire à l’entrée en relation
- 📋 Vigilance continue — Surveillance des transactions
- 📋 Déclaration de soupçon — Tracfin si anomalie
- 📋 Conservation — 5 ans après fin de relation
🤖 AI Act : Comment Utiliser l’IA
L’AI Act encadre comment vous utilisez l’IA pour le KYC.
- 🤖 Formation des équipes — Article 4, maîtrise suffisante
- 🤖 Transparence — Informer le client de l’utilisation IA
- 🤖 Gouvernance — Supervision, contrôle humain
- 🤖 Documentation — Si haut risque, dossier complet
🔒 RGPD : Protection des Données
Le RGPD s’applique en parallèle, notamment pour la biométrie.
- 🔒 Données biométriques = sensibles — Base légale renforcée
- 🔒 Consentement ou obligation légale — LCB-FT peut servir de base
- 🔒 Minimisation — Ne collecter que le nécessaire
- 🔒 Droits des personnes — Accès, rectification, effacement
⚠️ Cumul des Obligations
Vous devez respecter LCB-FT (vérifier), AI Act (utiliser l’IA correctement) ET RGPD (protéger les données). Ces réglementations se cumulent, elles ne s’excluent pas.
🏢 Cas Pratiques par Type d’Entreprise
Photo par Scott Graham sur Unsplash
💳 Cas 1 : Fintech / Néobanque (80 personnes)
📍 Contexte
Néobanque avec onboarding 100% digital. Solution Onfido/Jumio pour KYC. 50K nouveaux clients/an. Vérification documentaire + biométrie 1:1 + screening PEP.
⚡ Systèmes IA et Risques
- ✅ OCR documentaire → Minimal
- ⚡ Biométrie 1:1 → Limité
- ⚡ Liveness detection → Limité
- ⚡ Screening PEP/sanctions → Limité
- ⚠️ Décision automatique ouverture compte → VIGILANCE
✅ Actions requises
- 1 Former 30 personnes (conformité + support) → 15 000€
- 2 Récupérer doc fournisseur (Onfido) → 0€
- 3 Transparence clients (mentions KYC IA) → 3 000€
- 4 Documentation usages spécifiques → 8 000€
- 5 Processus de recours si refus → 5 000€
Budget total : ~31 000€ • Délai : 6-8 semaines
🏦 Cas 2 : Banque Traditionnelle (500 personnes)
📍 Contexte
Banque avec KYC multicanal : agence + digital. Plusieurs solutions KYC (historique). Scoring risque client avancé. 200K clients actifs.
⚡ Complexité : Multi-solutions + Historique
- ✅ KYC agence (manuel assisté IA) → Limité
- ⚡ KYC digital (biométrie) → Limité
- ⚠️ Scoring risque client → Limité à Vigilance
- ⚠️ Décisions crédit basées sur profil → VIGILANCE
✅ Actions requises
- 1 Former 150 personnes (conformité + agences) → 75 000€
- 2 Cartographie multi-solutions → 12 000€
- 3 Harmonisation documentation → 15 000€
- 4 Transparence clients → 8 000€
- 5 Gouvernance IA groupe → 10 000€
Budget total : ~120 000€ • Délai : 12-16 semaines
🛡️ Cas 3 : Assurance avec Scoring Acceptation (200 personnes)
📍 Contexte
Assureur avec KYC + scoring d’acceptation automatisé. Le scoring détermine l’acceptation, la tarification, et les exclusions. Impact significatif sur l’accès à l’assurance.
⚠️ Risque : Décision Automatisée Impactante
- ✅ KYC documentaire → Limité
- ⚡ Biométrie → Limité
- ⚠️ Scoring acceptation → VIGILANCE
- ⚠️ Tarification automatique → VIGILANCE
- ⚠️ Refus automatique accès assurance → Potentiellement HAUT
✅ Actions requises
- 1 Former 80 personnes (conformité + souscription) → 40 000€
- 2 Analyse risque scoring acceptation → 15 000€
- 3 Documentation si haut risque → 25 000€
- 4 Processus recours et explications → 12 000€
- 5 Audit externe → 15 000€
Budget total : ~107 000€ • Délai : 14-18 semaines
⚠️ Attention : Si le scoring détermine l’accès à l’assurance essentielle, analyse haut risque nécessaire
🎯 Votre KYC Est-Il Conforme ?
📋 Plan de Mise en Conformité KYC
Photo par Carlos Muza sur Unsplash
Voici le plan d’action en 5 étapes adapté au secteur KYC.
Cartographie des Composants KYC IA
Durée : 1-2 semaines • Qui : IT + Conformité
Listez TOUS les composants IA : OCR, biométrie, liveness, scoring, screening… Identifiez les fournisseurs (Onfido, Jumio, etc.).
Classification 1:1 vs 1:N et Impact
Durée : 1 semaine • Qui : Juridique + Conformité
Distinguez vérification (1:1, limité) et identification (1:N, vigilance). Identifiez les décisions automatiques impactantes.
Formation des Équipes Conformité
Durée : 2-4 semaines • Qui : KYC analysts, Fraud teams, Conformité
PRIORITAIRE. Vos équipes utilisent l’IA KYC quotidiennement. Formation 8h incluant spécificités biométrie et articulation LCB-FT/AI Act.
Coordination avec Fournisseur KYC
Durée : 2-4 semaines • Qui : IT + Achats
Récupérez la documentation AI Act de votre fournisseur KYC. Vérifiez leur conformité. Intégrez leur doc à votre dossier.
Transparence Clients et Recours
Durée : 2-6 semaines • Qui : Juridique + UX
Informez les clients de l’utilisation IA dans le KYC. Mettez en place un processus de recours humain en cas de refus automatique.
💡 Avantage KYC
Votre fournisseur KYC (Onfido, Jumio…) fait une grande partie de la documentation technique. Capitalisez sur leur travail de conformité !
💰 Simulateur Budget Conformité KYC
❓ Questions Fréquentes – IA et KYC
Oui, fortement. Le risque dépend du type de vérification. Biométrie 1:1 = limité. Identification 1:N = vigilance. Décision auto accès services = potentiellement haut risque.
Ça dépend. Vérification 1:1 (selfie vs CNI) = risque limité. Identification 1:N (recherche dans base) = vigilance à haut risque. L’AI Act distingue les deux usages.
Les deux. Fournisseur KYC (Onfido, Jumio…) = responsable de l’outil. Entreprise utilisatrice = responsable de l’usage, formation, transparence.
Ils se complètent. LCB-FT impose de vérifier (QUOI). AI Act encadre l’utilisation de l’IA (COMMENT). Vous devez respecter les deux.
OUI. L’Article 4 impose une maîtrise suffisante de l’IA. KYC analysts, fraud teams utilisent l’IA quotidiennement. Formation 8h recommandée.
Oui. OCR = minimal. Biométrie 1:1 = limité. Décision automatique d’acceptation/refus = vigilance à haut risque si impact significatif.
Oui, risque généralement limité. Fonction de sécurité sans impact direct sur les personnes. Transparence obligatoire.
Fintech avec onboarding IA standard : 25K-50K€. Banque : 60K-120K€. Assurance avec scoring : 80K-150K€. Formation : 500€/personne.
✅ Passez à l’Action Maintenant
Votre KYC utilise de l’IA, probablement de la biométrie. La bonne nouvelle : la vérification 1:1 (selfie vs document) reste du risque limité. La vigilance s’impose pour les décisions automatiques d’accès aux services.
🎯 Les 3 Priorités KYC
- 1️⃣ Classifier 1:1 vs 1:N — La distinction fondamentale
- 2️⃣ Former les équipes conformité — Ils utilisent l’IA quotidiennement
- 3️⃣ Prévoir un recours humain — Si décision automatique de refus
L’échéance Article 4 approche. Formez vos équipes conformité maintenant.
🔐 Formation AI Act pour Équipes KYC
8 heures • Certificat Article 4 • Spécificités biométrie et LCB-FT incluses
Former mes équipes → 500€✅ KYC Analysts • ✅ Conformité • ✅ Fraud Teams • ✅ Certificat reconnu
📚 Sources Officielles
- AI Act — Règlement (UE) 2024/1689 • Texte officiel
- Code Monétaire et Financier — LCB-FT • Obligations KYC
- CNIL — Dossier Intelligence Artificielle • Autorité française