- La loi du 18 septembre 2017 (art. 26 à 28) admet la vérification d'identité à distance via des moyens électroniques reconnus ou des technologies innovantes préalablement analysées — l'identification en face à face n'est plus la seule option légale.
- L'approche fondée sur les risques s'applique pleinement au KYC numérique : une relation entièrement à distance dans un secteur à risque requiert des mesures compensatoires documentées, voire la vigilance renforcée.
- L'AMLR 2024/1624 (art. 22(6)(b)) harmonise le cadre européen au 10 juillet 2027 en reconnaissant explicitement les moyens eIDAS aux niveaux d'assurance « substantiel » ou « élevé » comme vecteurs de vérification valables.
- L'EUDI Wallet, déployé en vertu du règlement (UE) 2024/1183 (eIDAS 2.0), sera reconnu comme vecteur d'identification à distance conforme AML dès sa disponibilité nationale, prévue d'ici fin 2026.
- Toute technologie innovante utilisée pour l'identification à distance doit faire l'objet d'une analyse préalable de fiabilité documentée — c'est une condition légale, pas une recommandation optionnelle.
La relation avec un client ne commence plus nécessairement dans un bureau ou une agence. Les entités assujetties belges — banques, fiduciaires, notaires, assureurs, CASP — intègrent désormais une proportion croissante de leurs clients entièrement à distance. Cette réalité opérationnelle soulève une question précise : quelles méthodes d'identification à distance sont admises par la loi LBC/FT, quelles conditions doivent-elles remplir, et comment le cadre évolue-t-il avec l'AMLR et l'eIDAS 2.0 ?
Ce guide parcourt le régime applicable en 2026 sous la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (ci-après « loi LBC/FT »), les ajustements à venir au 10 juillet 2027 sous le règlement (UE) 2024/1624 (AMLR), et la place grandissante du KYC numérique dans la stratégie de conformité belge.
Le cadre légal belge : loi du 18 septembre 2017 et identification à distance
La loi LBC/FT établit les obligations d'identification et de vérification de l'identité à ses articles 21 à 28. L'article 26 §1 fixe l'objet de l'identification — distinguer avec suffisamment de certitude le client ou le bénéficiaire effectif de toute autre personne. L'article 27 §1 en règle les modalités de vérification : il n'impose pas que la vérification se fasse en face à face. Il prévoit explicitement que celle-ci peut reposer sur des moyens d'identification électronique, en référence à la loi du 18 juillet 2017 relative à l'identification électronique, qui transpose le règlement eIDAS (UE) n° 910/2014 en droit belge.
Les moyens notifiés à la Commission européenne dans ce cadre — la carte d'identité électronique belge (eID) et itsme® — constituent des vecteurs légaux de vérification à distance pour les entités assujetties. Ils ne sont pas réservés aux banques : tout assujetti peut les intégrer dans son dispositif d'identification.
Méthodes de vérification à distance admises par la loi LBC/FT
Trois grandes familles de méthodes coexistent dans le régime actuel. Leur point commun est le principe d'équivalence fonctionnelle à l'identification en face à face : plus la méthode offre un niveau d'assurance élevé, moins elle requiert de mesures compensatoires supplémentaires.
| Critère | Méthode | Base légale | Niveau d'assurance eIDAS | Mesures compensatoires |
|---|---|---|---|---|
| eID belge (puce + lecteur ou appli) | Art. 27 §1 loi LBC/FT | Élevé (notifié eIDAS) | Aucune requise si risque standard | |
| itsme® (authentification forte) | Art. 27 §1 loi LBC/FT | Élevé (notifié eIDAS) | Aucune requise si risque standard | |
| Signature électronique qualifiée (QES) | Art. 27 §1 loi LBC/FT | Élevé (eIDAS) | Aucune requise si risque standard | |
| Technologie innovante (OCR + biométrie IA) | Art. 27 §1 + analyse préalable obligatoire | Variable selon le prestataire | Analyse préalable + revue périodique | |
| Copie de document par voie électronique | Art. 27 §1 loi LBC/FT | Faible | Mesures compensatoires fortes requises |
Le cas des technologies innovantes mérite une attention particulière. Un système de vérification d'identité combinant lecture optique du document (OCR), détection de falsification et contrôle biométrique facial peut offrir un niveau d'assurance équivalent à un moyen eIDAS — mais cette équivalence ne s'assume pas. Elle doit être démontrée par une analyse préalable documentée portant sur les taux d'erreur (faux positifs, faux négatifs), la robustesse face aux tentatives de fraude connues (deepfake, injection d'images), et la fiabilité du prestataire. La BNB précise dans ses commentaires et recommandations sur l'identification que cette analyse ne peut se réduire à la documentation commerciale du fournisseur.
L'approche fondée sur les risques appliquée au KYC numérique
L'identification à distance ne suspend pas l'approche fondée sur les risques (Risk-Based Approach). La loi LBC/FT identifie certaines situations de non-présentation physique comme des facteurs de risque potentiellement plus élevé, notamment lorsqu'elles s'appliquent à des secteurs ou des typologies de clients sensibles — relations transfrontalières, CASP, professions non financières exerçant à distance. Dans ces situations, l'évaluation de risque individuelle (art. 19 de la loi LBC/FT) doit en tenir compte.
À l'inverse, dans des situations de risque réduit dûment documentées, la loi LBC/FT permet d'alléger certaines modalités de vérification. Mais cet allègement ne peut porter que sur les mesures de vérification, jamais sur l'identification elle-même : l'identité du client doit toujours être établie avant d'entrer en relation.
L'AMLR 2024/1624 : vers un standard européen de l'identification à distance
Le règlement (UE) 2024/1624 du Parlement européen et du Conseil du 31 mai 2024 — communément appelé AMLR — unifie pour la première fois les règles de vigilance à l'égard de la clientèle dans un texte directement applicable dans tous les États membres, au 10 juillet 2027, sans transposition nationale.
Son article 22(6)(b) est la disposition la plus opérationnelle pour les entités qui procèdent à des identifications à distance. Il reconnaît explicitement deux familles de méthodes pour la vérification à distance :
- Les moyens d'identification électronique conformes au règlement eIDAS aux niveaux d'assurance « substantiel » ou « élevé »
- Les services de confiance qualifiés au sens du règlement eIDAS (notamment la signature électronique qualifiée et les services de validation)
Loi LBC/FT belge en vigueur
18 septembre 2017La loi du 18 septembre 2017 pose le cadre national de l'identification — y compris à distance via moyens électroniques. Ce régime est toujours applicable jusqu'au 10 juillet 2027.
eIDAS 2.0 entre en vigueur
20 mai 2024Le règlement (UE) 2024/1183 réforme l'identité numérique européenne et crée l'EUDI Wallet comme moyen d'identification à niveau d'assurance élevé.
AMLR publié au Journal officiel de l'UE
31 mai 2024Le règlement (UE) 2024/1624 est publié. L'art. 22(6)(b) consacre les moyens eIDAS comme vecteurs d'identification à distance conforme pour les entités assujetties.
EUDI Wallet disponible dans les États membres
Fin 2026Les États membres doivent mettre à disposition le portefeuille européen d'identité numérique. En Belgique, le Service public fédéral Digitalisation coordonne le déploiement.
AMLR d'application directe
10 juillet 2027L'AMLR s'applique directement dans toute l'UE. Les entités assujetties belges basculeront vers le cadre harmonisé pour l'ensemble de leurs obligations de vigilance à l'égard de la clientèle.
La transition vers l'AMLR ne bouleverse pas les entités qui ont déjà mis en place un dispositif d'identification à distance fondé sur des moyens eIDAS reconnus — la continuité est assurée. En revanche, les entités qui s'appuient uniquement sur des technologies innovantes non certifiées devront documenter plus rigoureusement l'équivalence de leur dispositif avec les exigences de l'art. 22 AMLR, ou migrer vers des solutions certifiées eIDAS.
eIDAS 2.0 et l'EUDI Wallet : la convergence numérique et AML
Le règlement (UE) 2024/1183 (eIDAS 2.0), entré en vigueur le 20 mai 2024, refonde le cadre de l'identité numérique en Europe. Sa principale innovation est l'EUDI Wallet (European Union Digital Identity Wallet), un portefeuille d'identité numérique que chaque État membre doit mettre à disposition de ses citoyens et résidents d'ici la fin 2026.
Pour les entités assujetties belges, l'EUDI Wallet présente un intérêt direct. Reconnu à un niveau d'assurance élevé, il constitue un moyen d'identification à distance pleinement conforme à l'article 22(6)(b) de l'AMLR. Un client qui présente son identité via l'EUDI Wallet remplit les exigences de vérification à distance sans que l'entité ait à appliquer de mesures compensatoires supplémentaires — à condition que ce client ne soit pas par ailleurs qualifié à risque élevé pour d'autres raisons.
La convergence entre eIDAS 2.0 et l'AMLR n'est pas fortuite. Les deux règlements ont été conçus en parallèle avec un objectif explicite d'interopérabilité. Les normes techniques ETSI pour la vérification d'identité à distance — notamment ETSI TS 119 461 sur la proofing d'identité à distance — constituent la référence commune pour les deux cadres et fournissent aux entités assujetties un standard technique auditable.
Checklist : dispositif d'identification à distance conforme
KYC numérique : les étapes indispensables
Cartographier les méthodes en place
Dresser la liste des vecteurs d'identification à distance utilisés (eID, itsme, vérification documentaire automatisée) et leur classification eIDAS.
Documenter l'analyse préalable de fiabilité
Pour chaque technologie innovante : rapport couvrant les taux d'erreur, la robustesse anti-fraude et la couverture géographique du prestataire.
Intégrer le vecteur d'identification dans le scoring de risque
La modalité d'identification (présentiel vs. distance) et le niveau d'assurance doivent figurer dans la matrice de scoring AML du client.
Calibrer les mesures compensatoires par niveau de risque
Définir les mesures additionnelles (validation humaine, vérification de l'origine des fonds, suivi renforcé) pour les relations à distance à risque modéré ou élevé.
Tracer et conserver chaque vérification
Conserver les preuves de vérification (rapport horodaté, résultat du contrôle biométrique, captures) pendant toute la durée légale de conservation prévue par la loi LBC/FT après la fin de la relation d'affaires.
Planifier la transition AMLR 2027
Cartographier les écarts entre le dispositif actuel et les exigences de l'art. 22 AMLR. Préparer la mise à niveau avant le 10 juillet 2027.
Former les équipes concernées
Les procédures d'identification à distance doivent figurer dans la formation annuelle des collaborateurs, conformément à l'art. 11 de la loi LBC/FT sur la formation du personnel.
Pour aller plus loin
L'identification à distance s'articule avec plusieurs autres pans de la conformité AML. Trois lectures complémentaires pour approfondir votre dispositif :
- Le guide complet du KYC en Belgique détaille les quatre piliers opérationnels de la vigilance à l'égard de la clientèle et leur articulation avec l'approche fondée sur les risques — l'identification à distance en est un pilier, pas un substitut.
- Le guide sur la vigilance renforcée (EDD) en Belgique précise quand et comment la relation à distance peut élever le niveau de risque et déclencher des mesures supplémentaires incompressibles.
- Le décryptage du paquet AML 2024 et de l'AMLA explique comment l'AMLR, l'AMLD6 et l'AMLA transforment le paysage réglementaire belge au-delà de la seule identification à distance, et ce que les entités doivent anticiper avant le 10 juillet 2027.
Questions fréquentes
Quelles méthodes d'identification à distance sont admises par la loi LBC/FT belge ?
La loi du 18 septembre 2017 (art. 26 à 28) admet trois catégories : les moyens d'identification électronique reconnus (carte d'identité électronique belge, itsme®, signature électronique qualifiée), les technologies innovantes à condition qu'une analyse préalable de leur fiabilité ait été réalisée et documentée, et les copies de documents d'identité envoyées par voie électronique accompagnées de mesures compensatoires adaptées au risque.
Une entité assujettie peut-elle procéder à l'intégralité du KYC en ligne ?
Oui, sous réserve que les méthodes employées offrent un niveau d'assurance équivalent à l'identification en face à face. L'entité doit documenter cette équivalence dans son analyse de risque individuelle (art. 19 de la loi LBC/FT) et appliquer des mesures compensatoires supplémentaires si le risque est jugé plus élevé. En cas de risque élevé, la vigilance renforcée s'impose quelles que soient les méthodes techniques utilisées.
Quel impact l'AMLR 2024/1624 a-t-il sur l'identification à distance ?
L'article 22(6)(b) du règlement (UE) 2024/1624 reconnaît explicitement les moyens d'identification électronique conformes à l'eIDAS aux niveaux d'assurance « substantiel » ou « élevé » comme mode de vérification à distance valable. Ces règles s'appliqueront directement dans tous les États membres au 10 juillet 2027, sans transposition nationale.
L'EUDI Wallet est-il un moyen d'identification valable pour le KYC ?
Oui. Le portefeuille européen d'identité numérique (EUDI Wallet) prévu par le règlement (UE) 2024/1183 (eIDAS 2.0) est reconnu par l'AMLR comme moyen de vérification à distance valable, à condition qu'il soit émis avec un niveau d'assurance « substantiel » ou « élevé ». Les États membres de l'UE doivent le rendre disponible d'ici fin 2026.
Que se passe-t-il si l'identification à distance porte sur un client à risque élevé ?
L'identification à distance ne lève pas l'obligation de vigilance renforcée. Si un facteur de risque élevé est identifié — PEP, pays tiers à haut risque, relation non présentielle dans un secteur sensible — l'entité doit appliquer les mesures de vigilance renforcée prévues par la loi LBC/FT en complément de ses procédures d'identification à distance.
Faut-il analyser la fiabilité de chaque nouvelle technologie d'identification numérique ?
Oui. La loi du 18 septembre 2017 impose qu'avant d'accepter une technologie innovante comme moyen de vérification d'identité, l'entité réalise et documente une analyse préalable de sa fiabilité. La BNB recommande dans ses commentaires et recommandations que cette analyse soit revue périodiquement, notamment lors de mises à jour significatives du système ou de la technologie.
Articles liés
Revue KYC périodique et remédiation : obligations AMLR en Belgique
Revue KYC périodique en Belgique : fréquences par niveau de risque, déclencheurs hors cycle et programme de remédiation du portefeuille — ce que l'article 26 AMLR impose.
Personnes politiquement exposées (PEP) : obligations AML en Belgique
Définition légale des PEP, périmètre de l'entourage, obligations de vigilance renforcée et ce que l'AMLR 2024 change pour les entités assujetties belges
Vigilance renforcée (EDD) : facteurs de risque AML en Belgique
Quand déclencher la vigilance renforcée, quelles mesures appliquer et comment l'AMLR 2024 restructure l'EDD pour les entités assujetties belges