Commentaire juridique

La règle bancaire « KNOW YOUR CUSTOMER »

« Connaitre son client » : limites et solutions
Nour GALAI
Après les attentats du 11 septembre 2001, le comité de Bâle a mis en avant l'urgence d'une
politique proactive et méthodique reposant sur le principe des "trois connaissances", à savoir :
Know Your Customer, (connais ton client)1.
Know Your employees, (connais tes salariés2).
Know Your Suppliers, (connais tes fournisseurs3).
"Connaître votre client" n'est pas une règle nouvelle. Elle oblige les banquiers à vérifier
l'identité et le domicile du demandeur lors de l'ouverture d'un compte4.
Cette règle, initialement limitée aux banquiers, a été étendue et imposée à d'autres
professionnels dans le cadre de la législation LAB-FT5.
Par conséquent, si la banque ne parvient pas à vérifier ces données ou si les informations
fournies sont insuffisantes ou clairement fictives, elle doit s'abstenir d'établir une relation
d'affaires et envisager de signaler l'opération comme suspecte.
Formulée de cette manière, la KYC évoque l'obligation ou la doctrine de suitability en droit
américain6. Cette doctrine se divise en deux aspects : la « Know your customer » (KYC), qui
se concentre sur les objectifs financiers, les besoins et d’autres circonstances du client, et la
« Know your security », qui se penche sur les caractéristiques de l'instrument ou du produit
recommandé7. Aujourd'hui, la KYC, qui a une dimension plutôt « subjective », revêt une
importance particulière. Le banquier est en effet tenu de s'informer sur la situation de
l'emprunteur8. Il doit collecter toutes les informations nécessaires pour bien évaluer le dossier.

1
Le terme (KYC) a émergé aux Etats-Unis à la fin des années 1960 pour désigner l’obligation de loyauté imposée aux courtiers. Cette obligation
exigeait qu’ils connaissent bien leur clients afin de leur recommandés des investissements adapté à leur situations et à leurs besoins, Ce n’est
qu’au début des années 1990 que cette obligation de connaissance du client s’est progressivement étendue à l’ensemble des activités bancaires
et financières, acquérant une nouvelle fonction de LAB-FT.
2 C’est-à-dire la rotation du personnel et le des fonctions liées au dispositif de surveillance sont içi les éléments de base.
3 C’est-à-dire consiste à appliquer la même sélectivité pour le choix des sous-traitants, contraints, correspondants bancaires aux autres partenaires

de l’établissement qui exige d’eux le respect et d’adhésion à des standards de qualité identiques à ceux qu’applique la banque.
4 V. BONNEAU (TH.), Droit bancaire, Montchrestien2007, 7ème édition, n° 365. pp.255.
5 YOUSSEF (I.), « L’intermédiations financière, étude comparée des droits Américain, Français et Tunisien », Thèse en Cotutelle Internationale

pour l’obtention des grades de Docteur de l’Université Paris 1 Panthéon-Sorbonne docteur de l’Université de Carthage en Droit Privé, année
universitaire 2012, p.367.
6 YOUSSEF (I.), « Réflexions sur l’obligation d’information du banquier dispensateur de crédit », disponible sur : https://79edcb9d-95a5-4463-

b787-3548d45a4c8c.filesusr.com/ugd/d4dd73_4d0502fa448741c285b14dc06f25b8d6.pdf , (Consulté le 19/03/2024), p.6.

7 Ibid.
8
Ibid.

1
Pour cela, il doit notamment constituer un dossier pour chaque client et établir une fiche de
renseignements sur la situation patrimoniale et personnelle du client. Les investigations
deviennent d’autant plus approfondies que le montant du crédit demandé est élevé.
Ces devoirs de diligences sont actuellement incarnées par la sacralisation9 de la règle
intentionnellement connue de « Know Your Customer -KYC10 », cela se réfère à l’ensemble
des processus et procédures mis en place pour vérifier l’identité de leurs clients et évaluer
leur potentiel risque11.
Cette obligation s'étend bien au-delà de la phase initiale de prise de contact et de l'ouverture
de compte12, elle s’applique tout au long de la relation contractuelle avec le client.
De plus, la connaissance approfondie de la clientèle permet aux banques de proposer des
produits et services mieux adaptés à chaque profil individuel, améliorant ainsi la qualité du
service et augmentant les opportunités de vente13.
Le changement auquel on assiste depuis des décennies, semble être un passage de la
connaissance requise pour l’appréciation du risque, à l’obligation de connaissance KYC doit
ainsi être conjugué au mode impératif : (You Must know Your Customer)14.
Il ne faut cependant pas penser, que la règle KYC est uniquement destinée à protéger les
clients. En effet, elle joue également un rôle crucial dans le bon fonctionnement du marché
en garantissant son intégrité. Cette moralisation est d'ailleurs au cœur des dispositifs anti-
blanchiment établis notamment par le droit comparé et tunisien.
Bien que l'obligation de connaître son client (KYC) soit essentielle pour les institutions
financières, elle ne constitue qu'un aspect du cadre réglementaire et déontologique qui
encadre l'activité bancaire. En effet, cette obligation s'étend à d'autres principes
fondamentaux tels que le principe de non-ingérence, qui impose au banquier de respecter la
vie privée et les affaires personnelles de ses clients, évitant ainsi toute intervention inutile ou
excessive. Parallèlement, le banquier professionnel, vigilant et diligent, est également tenu à
un devoir de mise en garde. Ce devoir consiste à informer et à conseiller ses clients de manière
adéquate sur les risques inhérents aux opérations financières qu'ils souhaitent entreprendre,
garantissant ainsi une relation de confiance et de transparence. Ces obligations et principes

9
BEGUE (G.), « Le Droit Luxembourgeois, nouveau, référent dans la lutte contre le blanchiment de capitaux et le financement du terrorisme ? »,
Revue De Droit Bancaire et Financier, 2006, n° 1-6 janvier février, Lexis- Nexis., p.50.
10 La règle KYC, acronyme de "Know Your Customer", est une directive essentielle dans le secteur bancaire et financier. Elle impose aux

institutions financières de vérifier l'identité de leurs clients, d'évaluer leur profil financier, et de surveiller leurs transactions afin de prévenir le
blanchiment d'argent, le financement du terrorisme, et d'autres activités illégales. Son importance est croissante à l'ère de la mondialisation et de
la numérisation, où les transactions financières sont devenues plus complexes et transfrontalières.
11
BROWN (M.), « Procedures and Processes in KYC Compliance, Compliance Today », 2020. Disponible sur :
https://www.fdmgroup.com/news-insights/kyc-checklist/ (Consulté le 2 avril 2024).
12CONAC (P-H.), « L'obligation de connaître le client (Know Your Customer) en droit bancaire et financier luxembourgeois » : article 10, Revue

de Droit Bancaire et Financier, LexisNexis, n° 2, p.60, Mars 2008.

13
BUYLE (J-P.) et MAIRLOT (M.), « la notion de « know your customer » en matière bancaire et financière, en droit belge », Revue de Droit
bancaire et financier, Lexis-Nexis, Mars 2008, p.56..
14 KNANI (Y.), « KNOW YOUR CUSTOMER : Que reste-t-il du principe de non-ingérence du banquier dans les affaires de son client ? », in,

Sciences juridiques et politiques, Mélanges offerts en l’honneur du professeur Mohamed Kamel CHARFEDDINE, C.P.U, Tunis, 2023, p.653.

2
complémentaires assurent un équilibre entre la vigilance nécessaire pour prévenir les activités
illicites et le respect des droits et libertés des clients.
Au vu de la pluralité risques inhérents à l’exercice de l’activité bancaire et de l’impossibilité
de les traiter dans leur totalité dans le cadre de ce projet de fin d’études, mon choix c’est porté
sur l’étude de la règle KYC vis-à-vis au risque de LAB-FT.
Ce choix n’est pas anodin, car il représente une importance majeure dans le secteur bancaire
mondial et, à une échelle plus réduite mais non moins cruciale, pour la banque elle-même. Ce
choix est d’autant significatif car le risque de LAB incarne une menace multi facette,
engendrant des conséquences significatives en terme de risque d’image de réputation, de
sanctions financières, administratives, voir pénales, aussi bien à l’échelle nationale
qu’internationale.
Sur le plan financier, les amendes imposées en cas de non-conformité peuvent être
substantielles, impactant directement la rentabilité des institutions financières. Au-delà des
considérations financières, les implications de la non-conformité sont vastes et touchent
divers aspects de la gouvernance institutionnelle. En effet, les autorités de régulation
disposent du pouvoir de suspendre temporairement ou définitivement certaines activités des
banques, voire de révoquer leur agrément bancaire. Ces mesures entraînent des répercussions
significatives sur la conformité opérationnelle, obligeant les institutions à revoir en
profondeur leurs politiques internes pour se conformer aux exigences réglementaires.
De plus, la non-conformité peut déclencher des conséquences juridiques sévères. Les
dirigeants et les employés peuvent être individuellement tenus responsables de manquements
à la réglementation, et des poursuites judiciaires peuvent être engagées à leur encontre. Cela
souligne l'importance pour les institutions financières de maintenir des standards élevés de
conformité et de vigilance, non seulement pour éviter des sanctions financières, mais aussi
pour protéger leur réputation et assurer une gouvernance efficace.
Cette approche adoptée par les régulateurs, vise à renforcer la sécurité de l’intégrité du
système financier mondial, expliquant pourquoi l’appétence pour ce risque est inexistante,
incitant les institutions bancaires à adopter une politique de gestion rigoureuse de ces risques.
Les institutions bancaires opérant désormais à l’échelle internationale, traitent avec une
clientèle diversifiée et facilitant des transactions transfrontalières. Les sanctions sont donc
conçues pour créer un environnement réglementaire cohérent et harmonisé, réduisant les
failles potentielles dans la prévention des activités illicites et particulièrement le risque de
blanchiment d’argent15 et de financement du terrorisme.

15Le blanchiment d’argent s’effectue en trois étapes ; en premier lieu, le placement qui consiste à intégrer des fonds illicites dans le système
financier soit par un transfert physique ou électronique, ensuite, la dispersion qui consiste à dissimuler l’origine des fonds illicites et enfin
l’intégration qui consiste à réintroduire les fonds illicites dans l’économie légale afin de les donner une apparence légitime.

3
D’un point de vue pratique, la mise en œuvre efficace de la règle KYC permet aux banques
de se prémunir contre les amendes et les sanctions réglementaires. En 2020, les amendes pour
non-conformité aux régulations KYC ont atteint des milliards de dollars à l’échelle mondiale.
La complexité croissante du secteur bancaire actuel a rendu indispensable l'adoption d'une
politique de gestion des risques adaptée aux progrès technologiques, afin de contrer les
stratégies criminelles en constante évolution et de maintenir la stabilité financière comme
priorité absolue.
Un élément essentiel de cette politique est sa nature dynamique. En évoluant en continu, elle
permet d'effectuer des ajustements en temps réel face aux changements du marché, aux
nouvelles menaces et aux évolutions de l'environnement opérationnel. Cette flexibilité agit
comme un rempart contre les défis émergents, garantissant ainsi une adaptation constante.
Partie 1 : Les limites opérationnelles de la KYC
Cette première partie expose les limites opérationnelles de la règle KYC, en mettant en
lumière les défis cruciaux auxquels les institutions financières sont confrontées dans sa mise
en œuvre. Un manque de flexibilité dans les outils KYC représente une contrainte majeure,
empêchant les institutions de s'adapter rapidement aux évolutions des risques et des
réglementations. De plus, ces outils génèrent souvent un nombre élevé d'alertes faux positives
et faux négatives, perturbant l'efficacité du processus de conformité. Ces problèmes
opérationnels non seulement alourdissent la charge de travail des équipes de conformité mais
peuvent également nuire à l'expérience client, en créant des frictions inutiles et en
potentiellement compromettant la précision des évaluations de risque. Cette section propose
une analyse détaillée de ces limitations et discute des pistes pour les surmonter, dans le but
d'améliorer la performance et la fiabilité des dispositifs KYC.

Ainsi, la KYC est essentielle mais souvent rigide dans ses outils de contrôle. Cette rigidité
conduit à un besoin accru de flexibilité, pour s'adapter aux besoins changeants des clients et
aux évolutions réglementaires. Ce sont deux autres défis majeurs que rencontre dans la
pratique de la KYC : le nombre élevé d'alertes faux positives et les risques associés aux faux
négatifs, impliquant ainsi les difficultés opérationnelles auxquelles les institutions financières
doivent faire face.
Paragraphe 1 : Un manque de flexibilité dans les outils de contrôle KYC
Les solutions de monitoring et de filtrage utilisées dans la gestion des risques liés à l'activité
bancaire rencontrent souvent un manque de flexibilité lors du paramétrage des scénarios16 de
détection des alertes et du filtrage des listes de sanctions. Ce manque de flexibilité peut
entraîner des résultats inadéquats et des alertes erronées, compromettant ainsi l'efficacité
globale de ces outils.
L’un des principaux défis rencontrés est l’incapacité des outils traditionnels qu’utilisent les
banques à distinguer entre différents types d’entités, tels que les personnes physiques, les
personnes morales, les avions ou les navires. Par exemple, lorsqu’une personne physique

16 Pour plus d’informations, voir : https://pideeco.be/fr/articles/aml-surveillance-transactions-scenarios-detection/ (consulté le 15/04/2024).

4
porte le nom de « Hamdi Tounsi », la solution de filtrage peut générer une alerte en raison de
la similitude avec un navire sanctionné portant le nom de « HADI ». Cette confusion entre
les différents types d’entités, peut entrainer une surcharge d’alertes et une perte de temps pour
les analyses chargés de les examiner. De plus, le manque de flexibilité dans ce paramétrage
des alertes ne permet pas d’exclure efficacement les transactions légitimes. Par exemple, les
transactions relatives à des virements de gros montants pour une acquisition immobilière,
précédées par un déblocage de crédit immobilier, sont identifiées à tort comme suspectes par
les outils de monitoring. Cela peut entrainer des retards dans le traitement des transactions
légitimes en plus d’alourdir la charge de travail des équipes de conformité.
Pour relever ces défis, il est crucial d’introduire une plus grande flexibilité dans la
configuration des scénarios de détection des alertes et des filtres. Cela peut impliquer l’ajout
de fonctionnalités permettant de spécifier clairement le type d’entité concerné par une alerte,
ainsi que des critères de filtrage plus précis pour exclure les transactions légitimes.
Paragraphe 2 : Un nombre élevé d’Alertes Faux positives KYC
L’un des défis majeurs réside dans le nombre significatif d’alertes faux positives17 générées
par ces outils utilisés. Ces alertes résultent du manque de pertinence lors de l’identification
de personnes ou de transactions et de comportements suspects. Cette limite peut être illustrée
par des exemples concrets ou la précision s’est avérée être un défi majeur.
En effet, dans plusieurs situations, les outils traditionnels génèrent des alertes pour les
transactions qui, lors d’un examen préliminaire, s’avèrent légitimes. Cependant, le défaut de
contextualisation appropriée peut conduire à des interprétations. Par exemple, un nombre
élevé de versements en espèces effectués par des agricultures pendant les périodes normales
de vente de leurs récoltes, comme la récolte d’olives ou de dattes, pourrait être mal interprété
sans compréhension approfondie du contexte spécifique.
De même, des comportements transactionnels atypiques peuvent résulter d’événements
exceptionnels, tels que des dépenses ponctuelles importantes mais justifiées. Par exemple, un
virement élevé émis par un particulier dans le cadre de l’acquisition d’un bien immobilier,
précédé par le déblocage d’un crédit, génère actuellement une alerte en raison de son montant
anormalement élevé.
En outre, les solutions de filtrage KYC ou Embargo opèrent d’une façon obsolète, le nombre
d’alertes faux positives est très élevé, voir même incommensurable. En fait, les recherches se
font d’une façon approximative ou encore floue, qui consiste à rechercher des chaines de
caractères proches, engendrant la détection d’homonymes. Cette situation est autant plus
aggravée, lorsqu’il s’agit de bases de clients portant des noms arabes, vu que les solutions de
filtrage sont généralement conçues pour fonctionner en caractère latin, tandis que les noms
des clients sont à la base en arabe, ce qui implique certainement des efforts supplémentaires
afin de les adapter à ces outils en les francisant en essayant de couvrir les de différentes
manières.

17
L’un des principaux enjeux dans l’AML est la réduction de faux-positifs, c’est-à-dire de fausses alertes, qui sont émis par les dispositifs de
lutte actuels. En effet, les faux-positifs représentent plus de 98% des cas d’alertes. C’est notamment là que l’intelligence artificielle trouve son
utilité, afin de réduire ce pourcentage et donc d’allouer plus de ressources pour les véritables cas de fraudes.
De plus, son utilisation dans les procédures KYC permet d’augmenter la connaissance client et donc d’améliorer la sécurité. Disponible sur :
https://www.datakeen.co/aml/ (consulté le 15/04/2024).

5
Paragraphe 3 : Les faux négatifs
Un faux négatif dans les alertes KYC-LAB se produit lorsque le système de surveillance ne
détecte pas une activité suspecte qui aurait dû déclencher une alerte.
Cela peut se produire pour diverses raisons, telles que les lacunes dans les données entrantes,
des seuils d’alertes mal définis, des problèmes liés au paramétrage, ou des techniques
sophistiquées utilisées par les criminels pour éviter la détection, ce qui compromet l’efficacité
du système en place. Ci-après quelques raisons pour lesquelles des faux négatifs peuvent se
produire à savoir18 :
Pour réduire les faux négatifs, il est important et essentiel d’améliorer la qualité des données,
d’ajuster les seuils d’alerte de manière appropriée, de mettre en œuvre des algorithmes de
détection plus avancés, et de former les analystes à reconnaitre les schémas de LAB-FT les
plus récents.
La deuxième section traite des enjeux de protection des données personnelles et de la vie
privée dans l'application de la règle KYC. Elle examine le cadre réglementaire international
et tunisien visant à protéger les droits des individus et la confidentialité des informations
sensibles, malgré les risques de cybercriminalité et de fuites de données.
Premièrement, la collecte de données personnelles expose les clients à des risques accrus de
violation de la vie privée, nécessitant des mesures de sécurité robustes contre les
cyberattaques. Deuxièmement, le stockage et la gestion des données doivent se conformer
aux lois sur la protection des données, comme le RGPD, avec des procédures strictes pour
l'utilisation et la destruction des données.
Troisièmement, la transparence et le consentement des clients sont cruciaux, mais souvent
difficiles à assurer en raison de la complexité des politiques de confidentialité.
Enfin, l'interopérabilité des systèmes KYC entre différentes juridictions pose des défis
supplémentaires pour la protection des données, surtout dans des régions aux normes de
confidentialité moins rigoureuses.
Section 2 : Les limites liées à la protection de la vie privée et des données personnelles
Le respect des droits de l'homme est désormais un critère essentiel pour évaluer la
démocratisation des États19. Cependant, le développement technologique ne fait qu'amplifier
les menaces qui pèsent sur ces droits.
Dans ce contexte, « Internet, avec sa grande capacité d’échange d’information, a
considérablement augmenté le flux des données personnelles et dès lors, le risque d’atteinte
aux droits relatifs à la vie privée. En effet, lors de la navigation, les cybernautes laissent
régulièrement des traces contenant des données personnelles20. »
18 Seuils d’alertes inappropriés : Les seuils utilisés pour déclencher une alerte peuvent être fixés trop haut, ce qui signifie que des activités
suspectes potentielles ne sont pas signalées car elles ne dépassent pas le seuil défini. Données incomplètes ou incorrectes : Les systèmes de
surveillance dépendent de données précises pour détecter les schémas et les comportements suspects. Si les données sont incomplètes, inexactes
ou mal formatées, cela peut entrainer des faux négatifs. Techniques de contournement sophistiquées : les criminels peuvent utiliser des techniques
sophistiquées pour éviter la détection, telles que a structuration des transactions pour rester en dessous des seuils d’alerte, ou l’utilisation des
méthodes de blanchiment d’argent de plus en plus complexes et difficiles à détecter. Algorithmes de détection inefficaces : Les algorithmes
utilisés pour détecter les activités suspectes peuvent ne pas être assez sophistiqués pour repérer les schémas de LAB-FT les plus récents et les
plus subtils.
19
JARRAYA (W.), La protection des données personnelles dans le commerce électronique, Mémoire pour l’obtention du Master en droit privé,
Université de Sfax, Faculté de Droit de Sfax, Année universitaire 2004-2005, p.1.
20 « La protection des données à caractère personnel dans le cadre du commerce électronique ». Disponible sur le site :

http://ipr.hrlpdesk.org/docs/docs.FR/personalData (Consulté le 12 mai 2024).

6
Il y a une exigence de protection des données personnelles des clients mais elle n’est pas
absolue : les obligations légales, fiscales, la LAB-FT la limitent.
La protection de la vie privée et des données personnelles constitue l'une des principales
limites de la règle KYC (Know Your Customer). Cette règle, conçue pour prévenir le
blanchiment d'argent et le financement du terrorisme, oblige les institutions financières à
collecter et à vérifier une quantité significative d'informations personnelles sur leurs clients.
Toutefois, cette exigence soulève plusieurs préoccupations.
La deuxième section de ce mémoire, intitulée "Limites liées à la protection de la vie privée
et des données personnelles," explore les défis inhérents à l'application de la règle KYC en
matière de respect des droits individuels. Dans le premier paragraphe, nous analyserons le
cadre réglementaire existant (paragraphe 1er), en mettant en lumière les lois et directives
internationales et tunisiennes qui encadrent la protection des données personnelles. Le second
paragraphe sera consacré à la gestion des risques, en examinant les stratégies et les mesures
mises en place par les institutions financières pour concilier le contrôle KYC avec le respect
des libertés des clients, tout en évaluant les impacts potentiels sur leur vie privée (paragraphe
2ème).
Paragraphe 1 : Cadre Réglementaire
La règle KYC est soumise à un cadre réglementaire international et national qui vise à
protéger les données personnelles des clients tout en assurant la conformité des institutions
financières. Ce cadre, composé de réglementations internationales telles que le Règlement
Général sur la Protection des Données (RGPD) 21 en Europe et de lois nationales comme la
loi tunisienne sur la protection des données personnelles22, établit des normes strictes pour la
collecte, le traitement et le stockage des données personnelles dans le cadre de la KYC.
Le législateur tunisien a mis en place, le premier texte protecteur de la vie privée et des
données personnelles ; il s’agit de la loi organique n° 2004-63 en date du 27 juillet 2004
portant sur la protection des données à caractère personnel. L’article 1 er de la loi affirme
que : « Toute personne a le droit à la protection des données à caractère personnel relatives
à sa vie privée comme étant l’un des droits fondamentaux garantis par la constitution et ne
peuvent être traitées que dans le cadre de la transparence, la loyauté et le respect de la
dignité humaine et conformément aux dispositions de la présente loi. »
L’article 4 de la même loi retient une définition des données à caractère personnel 23 comme
étant : « (…) toutes les informations quelle que soit leur origine ou leur forme et qui
permettent directement ou indirectement d’identifier une personne physique ou la rendre

21
RGPD est l'une des réglementations les plus importantes en matière de protection des données personnelles. Ce règlement établit des principes
clés tels que la transparence, la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la
confidentialité des données, ainsi que la responsabilité. Ces principes s'appliquent également à la collecte et au traitement des données
personnelles dans le cadre de la KYC, obligeant les institutions financières à mettre en œuvre des mesures de sécurité et de protection des données
conformes à ces normes.
22 La loi organique n° 2001-63 du 27 juillet 2004, portant sur la protection des données à caractère personnel.
23 L’article 4 du Règlement général sur la protection des données définit la donnée à caractère personnel comme « toute information se rapportant

à une personne physique identifiée ou identifiable (…) ; est réputée être une « personne physique identifiable » une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données
de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale »
Cette définition est légèrement plus approfondie que celle qui figurait à l’article 2 de la directive 95/46/CE, laquelle précisait que la personne
devenait identifiable « notamment par référence à un numéro d’identification ou à un plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle et sociale. »

7
identifiable, à l’exception des informations liées à la vie publique ou considérées comme
telles par la loi.»
L’article 5 de la même loi ajoute que « (…) est réputé identifiable, la personne physique
susceptible d’être identifié, directement ou indirectement, à travers plusieurs données ou
symboles qui concernent notamment son identité, ses caractéristiques physiques,
physiologiques, génétiques, physiologiques, sociales, économiques ou culturelles. »24
En effet, l’adhésion de la Tunisie à la Convention 10825, portant sur la protection des
personnes à l’égard du traitement automatisé des données à caractère personnel 26 et son
protocole additionnel, par la promulgation de la loi organique n° 2017-42 du 30 mai 2017 a
rapidement imposé l’harmonisation des textes nationaux.
Le règlement européen sur la protection des données (RGPD) dispose que ces dernières
comprennent toutes les informations liées à une personne physique identifiée ou identifiable,
désignant son identité physique, génétique, physiologique, psychologique, économique,
sociale ou culturelle. Entre autres, ceci inclut : (Le nom, date de naissance, l’adresse, la
nationalité… les formations et certificats professionnels…)27
Dans ce sens, le responsable du traitement, c’est-à-dire le professionnel, ne peut en aucun
cas se comporter comme étant le propriétaire28 des données à caractère personnel collectées.
Elles sont obtenues en contrepartie d’une prestation et dans un cadre bien déterminé.
Le règlement européen RGPD a été adapté en droit interne par la loi du 20 juin 201829 relative
à la protection des données personnelles. Par ailleurs, cette loi donne à la CNIL des missions
supplémentaires et un pouvoir de contrôle et de sanction accru en matière de protection des
données. Les usages qui sont faits des données à caractère personnel la concernant.
Le législateur tunisien n’évoque pas explicitement le caractère sensible de ces données.
Toutefois, les articles 13 et 14 de cette loi témoignent d’une volonté de protection renforcée
de certaines données.
Certains auteurs considèrent que la collecte de ces éléments, représentatifs de l'être, touche à
la dignité humaine en réduisant chacun à l'extraction de son patrimoine biologique, et que son
utilisation dans le domaine économique compromet l'exercice de la liberté individuelle. Par
ailleurs, l'identification biométrique est devenue un outil majeur de surveillance, tant pour les

24 On trouve la même définition dans la directive 95-/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui a été transposée dans
la loi française de 6 janvier 1987 relative à l’informatique, aux fichiers et aux libertés par la loi n° 2004-81 du 6 aout 2004 relative à la protection
des personnes physiques à l’égard des traitements des données à caractère personnel.
25 La Convention 108 du Conseil de l’Europe définit les données à caractère personnel en son article 2 comme « toute information concernant

une personne physique identifiée ou identifiable ». Ces identifiants peuvent être des informations directement normatives telles que le nom, le
prénom, la photographie du visage, mais aussi indirectement normatives, telles que la date et le lieu de naissance, l’adresse du domicile, l’adresse
électronique, le pseudonyme, un numéro de référence, un code de pseudo anonymisation ou le numéro qui peuvent être reliées à la personne par
recoupement d’informations.
Une adresse IP est également considérée comme une donnée à caractère personnel, qu’elle soit fixe ou dynamique ; car elle peut être utilisée,
sans connaitre le nom réel de l’individu, pour tracer ses comportements sur internet, construire des « profils » détaillés et ainsi envoyer des
publicités personnalisées basées sur ses habitudes de navigation et son historique d’achat
26 Une donnée à caractère personnel ne peut concerner qu'une personne physique, les informations relatives aux personnes morales n'entrant pas

dans le cadre de la réglementation sur les données personnelles bien que des fichiers tels que le registre du commerce des sociétés ou celui des
associations contiennent de nombreuses données à caractère personnel, parmi lesquelles les informations relatives aux dirigeants, aux associé
et membres adhérents.
27
Toutes ces définitions s’accordent à exclure les personnes morales du champ de la protection de l’article 4 de la loi 2004-63.
28 JARRAYA (W.), La protection des données personnelles dans le commerce électronique, Mémoire pour l’obtention du Master en droit privé,

Université de Sfax, Faculté de Droit de Sfax, Année universitaire 2004/2005, p.22.

29 « Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles sur https://.legifrance.gouv.fr

8
autorités du secteur privé que pour celles du secteur public. La mise en relation des différents
lieux et moments où une identification a eu lieu, les journaux d'enregistrement et l'archivage
des accès permettent de suivre de manière détaillée les déplacements d'une personne,
notamment dans le cadre de la gestion des accès, des horaires et des flux.
Le responsable du traitement des données personnelles n’en est pas le propriétaire ; il les
obtient en échange d'une prestation spécifique et dans ce cadre exclusif. Il est tenu de
respecter plusieurs règles, notamment la déclaration ou la demande d’autorisation préalable,
l’obtention du consentement éclairé de la personne concernée, le respect de la finalité du
traitement, la mise à jour des données, la sécurisation des données traitées, ainsi que la
communication et le transfert des données à l’étranger.
La personne concernée doit donner un consentement éclairé pour le traitement de ses données
personnelles. Ce consentement30 doit être donné sur la base d’une connaissance de l’opération
de traitement, ce qui implique une obligation d’information31. Il doit également être donné de
manière explicite, laissant une trace32, et ne peut être présumé. De plus, ce consentement est
réversible, ce qui signifie que la personne concernée peut revenir dessus33.
En effet, le consentement étant un acte volontaire, la personne concernée ne peut être obligée
de le donner. Il est important d'informer clairement sur les données que la personne est obligée
de fournir et celles qui sont optionnelles. De plus, le responsable ne peut conditionner une
prestation par le consentement à fournir des données personnelles34. Il est également précisé
que les données ne peuvent être collectées auprès de tiers sans le consentement de la personne
concernée.
En outre, tout traitement de données personnelles a un but déterminé, appelé finalité. Cette
finalité doit être déclarée, assurant ainsi la transparence du traitement. De plus, elle doit être
loyale, c'est-à-dire être menée de manière honnête, respectueuse de la dignité humaine et
légale, c'est-à-dire conforme à la loi.
Le traitement des données à caractère personnel doit également respecter les principes de
confidentialité et de sécurité, en particulier lorsque ce traitement est confié par le responsable
à un sous-traitant35.
Par ailleurs, les sanctions en relation avec la finalité des données sont sévères. Il est interdit
de traiter les données pour des finalités autres que celles pour lesquelles elles ont été
collectées. De plus, il est obligatoire de détruire les données dès l'expiration du délai fixé à
leur conservation dans la déclaration ou l'autorisation, ou selon les lois spécifiques, si elles
ont atteint les finalités pour lesquelles elles ont été collectées ou si elles sont devenues inutiles
pour l'activité du responsable du traitement, sous peine des mêmes sanctions. En ce qui
concerne les enregistrements vidéo, ils doivent être détruits dès qu'ils ne sont plus nécessaires
aux finalités pour lesquelles ils ont été effectués ou si l'intérêt de la personne concernée le
demande, sous peine des mêmes sanctions.

30 La loi 2004 n’a pas définit le consentement et ce contrairement à la directive européenne de 1995 qui l’a défini comme : « toute manifestation
de la volonté libre, spécifique et informée par laquelle la personne concernée accepte que les données à caractère personnel la concernant
fassent l’objet d’un traitement. »V. art 2-h de la directive 95/46/CE.
31
Article 31 de la loi de 2004-63 du 27 juillet 2004 portant sur la protection des données à caractère personnel.
32
Article 27 de la loi 2004-63.
33 Article précité.
34 Article 17 de la loi 2004-63.
35 Le sous-traitant est toute personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement.

9
Les données personnelles sont utilisées pour prendre des décisions concernant les personnes
concernées. Le responsable du traitement est donc tenu de maintenir constamment à jour ces
données et de les effacer si elles s'avèrent inexactes. Conformément à l'article 21, « le
responsable du traitement et le sous-traitant doivent corriger, compléter, modifier ou mettre
à jour les fichiers dont ils disposent, et effacer les données à caractère personnel de ces
fichiers s'ils ont connaissance de l'inexactitude ou de l'insuffisance de ces données. »
Après avoir exploré le cadre réglementaire des données personnelles, nous nous pencherons
maintenant sur l'analyse des risques potentiels de violation de ces données, afin de
comprendre comment assurer une conformité robuste et une protection efficace.
Paragraphe 2 : Risques de violation de données
La protection des données personnelles est devenue un enjeu majeur à l'échelle mondiale,
notamment avec la généralisation des technologies de l'information et de la communication.
En Tunisie, comme ailleurs, la collecte et le traitement des données personnelles, notamment
dans le cadre de la procédure KYC, présentent des risques potentiels de violation de la vie
privée36 et de sécurité des individus.
En effet, le client a le droit de « protéger sa vie privée contre une intrusion abusive du
banquier37.» Dans ce sens, la loi de 2016-48 relative aux banques et aux établissements
financiers a imposé le respect du secret bancaire38.
Premièrement, la collecte excessive ou non autorisée de données39 peut conduire à des
violations de la vie privée. Dans le contexte du KYC, les institutions financières et les
organismes de régulation peuvent être tentés de collecter davantage d'informations que
nécessaire, ce qui peut compromettre la confidentialité des individus.
Deuxièmement, la sécurité des données est une préoccupation majeure. Les données
collectées dans le cadre du KYC peuvent être sensibles et nécessitent une protection adéquate
contre les violations, telles que les piratages informatiques ou les fuites de données. En
Tunisie, comme dans de nombreux pays, les infrastructures de protection des données
peuvent ne pas être suffisamment développées pour faire face à ces menaces.

36 Au niveau international, la protection de la vie privée est consacrée dans plusieurs textes ; on cite :
- L’article 12 de la déclaration universelle des droits de l’homme de 1948. Disponible sur le site :
http://www.justice.gouv.fr/textfond/dudh1948.
- L’article 17 du pacte des Nations Unis relatif aux droits civils et politiques. Disponible sur le site :
http://www.droitshumains.org/uni/Formation/02pacte2_f.
- L’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentaux. Disponible sur le site :
http://www.justice.gouv.fr/textfond/europ1.
- La convention n° 108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.
- Les directives de l’O.C.D.E. régissant la protection de la vie privée et les flux transformaliers des données à caractère personnel.
37 AZIBI (J.), « Qualité d’audit, Comité d’audit et crédibilité des états financiers après le scandale Enron : approche empirique dans le contexte

français », thèse pour le doctorat en comptabilité-contrôle-audit », Universités Cnam-Intec, Paris, 2014, pp.45.
38 L’article 14 du code de déontologie qui régit les relations entre la banque, les établissements financiers et les clients prévoit que :

« L’établissement financier doit respecter et faire respecter par ses collaborateurs, le secret professionnel, aussi bien pendant l’exercice de leurs
fonctions au sein de l’établissement financier, qu’après la cessation de leurs activités, à l’occasion du départ à la retraite, à la suite de démission
ou pour tout autre motif. »
39En ce sens, l’article 12 du code de déontologie Etablissements-client prévoit que : « L’établissement bancaire doit veiller à ne pas révéler et

communiquer, à un tiers, les informations sur la situation financière, ou sur les opérations effectuées par le client, sous réserve des exceptions
prévues par la loi. Le devoir de discrétion implique qu’il traite toujours, en toute confidentialité les données, à caractère personnel et financière,
que son client lui communique, aussi bien à l’extérieur de l’établissement financier, que vis-à-vis des collaborateurs, dont les fonctions ne sont
pas directement concernées par ces données. »

10
Troisièmement, la prolifération des données biométriques40 dans les procédures KYC soulève
des préoccupations supplémentaires. Ces données, telles que les empreintes digitales ou l'iris,
sont particulièrement sensibles et leur utilisation peut entraîner des risques de violation de la
vie privée si elles sont mal gérées ou utilisées de manière inappropriée.
La sécurisation des données personnelles est une responsabilité cruciale. La personne
responsable du traitement est civilement et pénalement responsable de ces données, qui lui
sont confiées. Selon l'article 18, elle doit prendre toutes les précautions nécessaires pour
assurer la sécurité de ces données et empêcher les tiers de les modifier, les altérer ou les
consulter sans l'autorisation de la personne concernée.
En cas de non-respect des mesures de sécurité des données personnelles, les sanctions sont
sévères. Ne pas prendre toutes les précautions nécessaires pour assurer la sécurité des données
et empêcher les tiers de les modifier, altérer ou consulter sans autorisation peut entraîner une
peine de prison de trois mois et/ou une amende de 1 000 dinars. De plus, ne pas mettre en
œuvre les précautions nécessaires pour assurer la sécurité, l'accès, la modification, le
déplacement, l'effacement, l'utilisation non autorisée, et l'intégrité des données traitées, ainsi
que la journalisation des accès et leur consultation ou modification lors de leur
communication et la réalisation de copie de sauvegarde, peut également entraîner les mêmes
sanctions.
La communication et le transfert des données personnelles sont strictement encadrés. Le
responsable du traitement ne peut les communiquer à des tiers sans le consentement exprès
de la personne concernée, de ses héritiers ou de son tuteur, et ce consentement doit laisser
une trace écrite41. De plus, tout transfert de données vers un autre pays ne peut avoir lieu sans
l'autorisation de l'INPDP (Instance Nationale de Protection des Données Personnelles) que si
ce pays assure un niveau de protection adéquat42.
La personne concernée reste propriétaire de ses données personnelles et dispose de certains
droits qui doivent être respectés. Parmi ces droits figurent le droit d'opposition, le droit
d'accès, le droit de rectification et le droit à l'oubli.
Le droit d'opposition permet à la personne concernée de s'opposer au traitement de ses
données personnelles43. Ce droit peut également être exercé par les héritiers et les tuteurs de
la personne concernée, et ce, à tout moment. Pour être valide, l'opposition doit être fondée
sur des raisons valables, sérieuses et légitimes, et ne peut être exercée si le traitement est
prévu par la loi44. Le droit d'opposition est essentiel et protège la confiance entre la personne
concernée et le responsable du traitement. Si le responsable continue à traiter les données
personnelles malgré l'opposition de la personne concernée, il rompt ce contrat de confiance.

40La biométrie est une technologie d'identification qui transforme une caractéristique morphologique ou comportementale en une empreinte
numérique, attestant ainsi l'unicité d'une personne à partir de la mesure d'une partie inchangeable et immaîtrisable de son corps. Cette technologie
englobe diverses techniques, telles que l'empreinte digitale, la géométrie de la main, l'iris, la rétine, le visage, la voix, la signature, la frappe sur
un clavier, le réseau veineux ou la thermographie du visage.

41 Art. 47 «il est interdit de communiquer des données à caractère personnel aux tiers sans le consentement exprès donné par n’importe quel
moyen laissant une trace écrite, de la personne concernée, de ses héritiers ou de son tuteur sauf si ces données sont nécessaires à l’exercice des
missions confiées aux autorités publiques dans le cadre de la sécurité publique ou de la défense nationale, ou s’avèrent nécessaires à la mise en
œuvre des poursuites pénales ou à l’exécution des missions dont elles sont investies conformément aux lois et règlements en vigueur… »
42 V. Article 51 de la loi 2004-63 portant sur la protection des données à caractère personnel.
43 Article 31 de la loi.
44 Article 42 de la loi.

11
Toute personne qui fournit ses données personnelles ne renonce pas à celles-ci, et elle a le
droit de demander à tout moment d'y accéder. Selon l'article 32, le droit d'accès permet à la
personne concernée, à ses héritiers ou à son tuteur de consulter toutes les données
personnelles la concernant, ainsi que de les corriger, compléter, rectifier, mettre à jour,
modifier, clarifier ou effacer si nécessaire. Ce droit comprend également le droit d'obtenir
une copie des données dans une langue claire et conforme au contenu des enregistrements, et
sous une forme intelligible lorsqu'elles sont traitées à l'aide de procédés automatisés.
Le droit d'accès est un élément central de la protection des données personnelles. Il permet à
la personne concernée de se protéger contre les traitements abusifs en ayant le pouvoir de
consulter, corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer ses
données personnelles. Tout responsable du traitement45 est tenu de respecter ce droit, sous
peine de sanctions importantes en cas de violation.
Le droit de rectification permet à la personne concernée de demander la correction ou la mise
à jour de ses données personnelles si elles s'avèrent inexactes ou insuffisantes.
Le droit à l'oubli est un nouveau droit humain découlant de l'essor massif des technologies de
l'information. Il confère au citoyen le droit de voir ses données personnelles conservées
uniquement pour la durée nécessaire à la réalisation de la finalité à l'origine de leur collecte46.
Le problème réside dans le fait que le niveau de protection des données n'est pas uniforme
dans tous les États. Ainsi, une personne ayant consenti, lors de la collecte de ses données par
un responsable de traitement dans le cadre du processus KYC, peut croire que ses données
sont suffisamment protégées. Cependant, elle peut être lésée si ce responsable vend ou
transfère ses données à un autre responsable de traitement ou à un sous-traitant ne fournissant
pas le même niveau de protection.
La loi consacre un chapitre entier à cette question. La chapitre IV de cette loi est intitulé « De
la communication et du transfert des données à caractère personnel ». L'examen de ce
chapitre révèle que le transfert des données à caractère personnel est généralement interdit 47,
mais peut parfois être autorisé.
En conclusion, la procédure KYC, bien qu'essentielle pour lutter contre la fraude et le
blanchiment d'argent, comporte des risques potentiels de violation des données personnelles
en Tunisie et à l'échelle internationale. Il est essentiel que les autorités et les entreprises
concernées mettent en place des mesures adéquates pour garantir la protection et la sécurité
des données des individus. Cela passe notamment par le respect des principes de
proportionnalité, de transparence et de sécurité dans la collecte et le traitement des données
personnelles.

45 Le responsable du traitement est toute personne physique ou morale qui détermine les finalités et les moyens du traitement des D.C.P. ; art. 6
de la loi 2004.
46 Art. 45 : « Les données à caractère personnel doivent être détruites dès l’expiration du délai fixé à sa conservation … ou en cas de réalisation

des finalités pour lesquelles elles ont été collectées ou lorsqu’elles deviennent inutiles pour l’activité du responsable du traitement.»
47
L’article 47 alinéa 1 dispose que « Il est interdit de communiquer des données à caractère personnel aux tiers sans le consentement exprès
donné par n’importe quel moyen laissant une trace écrite , de la personne concernée, de ses héritiers ou de son tuteur. » L’article 50 ajoute que
« Il est interdit, dans tous les cas, de communiquer ou de transférer des données à caractère personnel vers un pays étranger lorsque ceci est
susceptible de porter atteinte à la sécurité publique ou aux intérêts vitaux de la Tunisie. »

12
 Pour répondre aux limites identifiées, le deuxième chapitre se concentrera sur les solutions
possibles visant à surmonter les défis de la règle KYC, en proposant des approches innovantes
et équilibrées entre la conformité réglementaire et la protection des droits individuels.

Partie 2 : Les solutions possibles face aux limites de la KYC

L.-M. DUONG, rappelle que : « Les temps changent. Au commencement, le juriste voyait
dans l’Internet la « mort du droit ». Aujourd’hui, internet apporte sa signature à un
renouvellement du droit48. »
L’intelligence artificielle représente une innovation majeure dans la gestion des risques
financiers, offrant des perspectives novatrices pour renforcer la détection précoce des
activités et transactions illicites et améliorer les processus décisionnels. Nous explorerons les
diverses façons dont l’IA peut être exploitée pour optimiser la gestion des risques, en mettant
en lumière ses apports en la matière (Section 1ère). Nous soulignerons également les défis qui
accompagnent cette intégration (Section 2ème).
Section 1 : Intégration de l’IA dans les outils KYC comme solution :
Cette section examinera en détail l'intégration de l'intelligence artificielle (IA) dans les outils
KYC (Know Your Customer). Dans un premier temps, nous présenterons les principaux
aspects de l'IA appliquée aux processus KYC (Paragraphe 1 er), en mettant en lumière ses
capacités et ses applications spécifiques. Ensuite, nous explorerons les avantages qu'offre l'IA
dans l'amélioration des processus KYC, en soulignant notamment ses contributions à
l'efficacité opérationnelle, à la réduction des risques et à l'amélioration de l'expérience client
(Paragraphe 2ème).
L’IA représente une innovation majeure dans la gestion des risques financiers, offrant des
perspectives novatrices pour renforcer la détection précoce des activités illicites et améliorer
les processus décisionnels. Nous explorerons les diverses façons dont l’IA peut être exploitée
pour optimiser la gestion des risques inhérents à l’application de la KYC, en mettant en
lumière ses apports en la matière. Nous soulignerons également les défis qui accompagnent
cette intégration. En examinant ces aspects, nous fournirons une analyse des enjeux et des
opportunités liés à l’intégration de l’IA dans ces outils de gestion, contribuant ainsi à une
compréhension plus nuancée de cette transformation technologique dans le domaine
financier.
Paragraphe 1 : Présentation de l’IA
Les avancées technologiques se propagent dans divers domaines ; le domaine juridique n'y
fait pas exception. En fait, il est à l'aube d'une nouvelle ère.
En effet, l’essor de l’internet49 procure une évolution croissante et rapide permettant une
bonne participation à la mondialisation.

48DUONG (L-M.), « Les sources du droit de l’Internet : du modèle en réseau », D., N° 13, 2010, p. 789.
49L’Internet est « un réseau informatique mondial constitué d’un ensemble de réseaux nationaux, régionaux et privés, qui sont interconnectés
entre eux et communiquent au travers du protocole TCP-I », KAPLAN (D.), dir., Guide du commerce électronique, Paris,
ECHANGEURMAISONNEUVE & LAROSE, 2000, glossaire,.209.En ce qui conerne la création de l’Internet voir : LAQUEY (T.),Sésame
pourInternet,Paris, Editions Addition-Wesley Frane, SA, 1994, p.2 ; Le même auteur définit l’Internet comme étant « un amalgame disparate
composé de milliers de réseaux d’ordinateurs qui permet d’atteindre des millions de personnes dur la planète… il est devenu… un moyen
d’information et de communication », op.cit., p.1.

13
L’automatisation des processus est également une opportunité majeure dans le secteur
financier grâce à l’IA. Les tâches répétitives et chronographes, telles que la vérification des
antécédents de crédit ou la gestion des documents, peuvent être automatisées, libérant ainsi
du temps pour les professionnels de la finance afin de se concentrer sur des taches plus
complexes et stratégiques.
L’utilisation de l’IA offre des opportunités significatives dans l’application de KYC ainsi que
dans la lutte contre le BA. Les caractéristiques intrinsèques de l’IA, telles que l’analyse
avancée des données, la détection de modèles et la capacité à traiter des volumes massifs
d’informations, en font un outil précieux pour renforcer les mécanismes de conformité et de
sécurité financières.
L’IA offre ainsi au secteur financier la possibilité de renforcer la sécurité, d’améliorer
l’efficacité opérationnelle et de détecter les fraudes plus efficacement, ce qui peut conduire à
une meilleure satisfaction des clients à une prise de décision plus stratégique.
En effet, la diligence raisonnable dans l'identification des clients, la surveillance continue des
transactions, et la déclaration des activités suspectes sont devenus des impératifs
réglementaires exigeant une attention constante. L'inexistence d'appétence pour le risque de
BA/FT résulte ainsi de la compréhension claire des conséquences dévastatrices qui en
découlent.
Autrefois confiné largement à des transactions en espèces, notamment dans des secteurs tels
que l'immobilier et les casinos, le risque de BA/FT pose aujourd’hui une menace de plus en
plus sérieuse à la stabilité financière mondiale50. Une nouvelle ère a émergé, offrant aux
criminels des voies plus discrètes pour leurs transactions illicites. L'utilisation astucieuse de
sociétés écrans, de transactions internationales complexes, et de crypto monnaies a insufflé
une dimension nouvelle et sophistiquée au risque de BA/FT, complexifiant davantage la tâche
de détection pour les institutions financières.

Le catalyseur majeur de cette sophistication est incontestablement la révolution

technologique. L'intelligence artificielle (IA), le big data51 et la blockchain52 a fourni aux
criminels des outils puissants pour édifier des stratégies plus élaborées, défiant les systèmes
de détection traditionnels.

Définie comme la capacité d'un système informatique à accomplir des tâches nécessitant
normalement l'intelligence humaine, l’IA s'est progressivement immiscée dans les processus
bancaires. L'avènement de l’IA marque un tournant majeur dans l'évolution des opérations
bancaires. Bien que ses prémices remontent à plusieurs décennies, son intégration poussée
dans le secteur bancaire a connu des avancées significatives au cours de ces dernières années.

50 VERNIER (E.), Les techniques de blanchiment et moyens de lutte, Fonctions de l’entreprise : gestion/ finance/ comptabilité. Dunod, Paris
2013, 3éme édition p.225.
51 « Le Big Data est un concept permettant de stocker un nombre indicible d’informations sur une base numérique. Selon les archives de la

bibliothèque numérique de l’Association for Computing Machinery (ou ACM) dans des articles scientifiques concernant les défis technologiques
à relever pour visualiser les « grands ensembles de données », cette appellation est apparue en octobre 1997. www.lebigdata.fr/definition-big-
data
52
« Une blockchain est un registre, une grande base de données qui a la particularité d’être partagée simultanément avec tous ses utilisateurs,
tous également détenteurs de ce registre, et qui ont également tous la capacité d’y inscrire des données, selon des règles spécifiques fixées par
un protocole informatique très bien sécurisé grâce à la cryptographie » dans : « Rapport de la mission d’information commune sur la blockchain
(chaîne de blocs) et ses usages): un enjeu de souveraineté » Assemblée-nationale française ;Décembre 2018.

14
Cette transformation a engendré un paysage financier profondément modifié, présentant à la
fois des opportunités considérables et des défis complexes.

L'histoire de l'intégration de l'IA dans le secteur bancaire peut être retracée depuis les
premières applications primitives jusqu'à des systèmes plus avancés, capables de traiter
d'énormes volumes de données en temps réel. Initialement, dans les années 2000, les
premières applications d'IA se limitaient à des tâches rudimentaires53, telles que la
vérification de la solvabilité des clients offrant aujourd’hui des analyses de données plus
sophistiquées, une automatisation des tâches, et une amélioration globale de l'efficacité
opérationnelle.

Au cœur de cette politique réside une identification minutieuse des risques auxquels la banque
pourrait être exposée. Cette étape englobe une évaluation exhaustive des risques de crédit, de
marché, opérationnels, de liquidité, de réputation, de conformité et de BA/FT. Cette démarche
précise vise à anticiper les facteurs pouvant impacter la viabilité financière et l'image de
l'institution.

La phase suivante consiste en la définition de politiques de gestion spécifiques. Ces politiques

établissent les orientations stratégiques, définissent les limites acceptables, et précisent les
procédures opérationnelles. Elles permettent également une hiérarchisation des risques en
fonction de leur criticité, orientant ainsi les priorités de gestion et d'allocation des ressources.

Un aspect fondamental de cette politique est son caractère dynamique. Son évaluation
continue permet des ajustements en temps réel face aux évolutions du marché, aux nouvelles
menaces, et aux changements dans l'environnement opérationnel. Cette agilité sert de garde-
fou face aux défis émergents, assurant ainsi une adaptation continue.

Ainsi, l'évaluation de la politique de gestion des risques à l'ère de l'IA s'inscrit dans une
introspection profonde quant à la manière dont les institutions bancaires peuvent naviguer au
sein d'un paysage technologique en constante mutation tout en préservant la stabilité
financière. Cette démarche intellectuelle soulève des questionnements essentiels sur
l'adaptation nécessaire des banques aux évolutions incessantes du domaine technologique.

Paragraphe 2 : Avantages de l’intégration de l’IA dans la gestion des risques inhérents à la

KYC
La nécessité d’adopter des approches pour identifier les risques associés au BA-FT est
cruciale dans un contexte où les répercussions d’une gestion inefficace de ces risques sont
multiformes, allant des sanctions financières er pénales aux dommages réputationnels. Dans
cette perspective, l’IA émerge comme une technologie clé susceptible de transformer
substantiellement la gestion du risque de BA-FT. L’exploitation de l’apprentissage
automatique, des algorithmes prédictifs et de l’analyse de données à grande échelle offre des
perspectives novatrices pour renforcer la capacité de détection précoce des anomalies et
53 McKinsey & Company Report on AI in Banking "AI systems have evolved to process massive amounts of data in real-time, enhancing decision-

making and operational efficiency.".

15
accroitre l’efficacité des processus décisionnels.
Un exemple concret de cette avancée est illustré par la solution « RADAR » de la société
Stripe, qui a été mise en place pour lutter contre la fraude54. Cette solution utilise des
algorithmes avancés d’apprentissage automatique pour analyser en temps réel les données de
transaction et détecter les activités frauduleuses avec une grande précision et rigueur. En
intégrant des modèles prédictifs et des techniques de détection d’anomalies, la solution de
Stripe repère rapidement les schémas frauduleux et alerte les commerçants pour qu’ils
prennent des mesures appropriées55. Cette capacité d’adaptation constante aux nouveaux
types de fraudes et évolutions des comportements des fraudeurs garantit une protection
robuste entre les menaces émergentes.
Cet outil comprend un tableau simple qui présente de manière claire les caractéristiques
spécifiques qui ont le plus contribué à l’augmentation ou à la réduction du score de fraude
d’une transaction. En expliquant de manière transparente les résultats du Machine Learning
de Radar, les utilisateurs peuvent mieux comprendre le niveau de risque associé à un paiement
donné, identifier les signaux de fraude qui ont contribué à ce score de risque et comparer ce
paiement à d’autres. Ils peuvent ensuite prendre des mesures pour améliorer la qualité des
données qu’ils envoient (pour obtenir des décisions de fraude plus précises, ou créer des
règles d’autorisation ou de blocage personnalisées pour adapter Radar à leurs besoins
commerciaux spécifiques.
Par ailleurs, une solution d’IA basée sur la reconnaissance faciale émerge comme une réponse
innovante à l’impératif de l’obligation de connaitre son client dans la LAB-FT. Cette
technologie utilise des algorithmes sophistiqués pour identifier, extraire et analyser les
caractéristiques faciales des individus à partir de photos ou de vidéos.
En intégrant cette solution dans les processus KYC, les institutions financières peuvent
authentifier l’identité des clients de manière rapide, précise et sécurisée, sans nécessiter de
documents physiques. Par exemple, lors de l’ouverture d’un compte bancaire en ligne, un
client peut être invité à prendre une photo de son visage, et l’IA, par le biais d’un logiciel
nommé « SIGN », peut ensuite comparer cette image avec des photos officielles, telles que
des passeports ou des cartes d’identité, pour vérifier l’identité de l’individu. Cette approche
permet de réduire les risques de fraude liés à l’usurpation d’identité et d’améliorer l’efficacité
du processus KYC en évitant les délais associés à la vérification manuelle des documents et
en réduisant le cout et les charges engagés.
Dans ce contexte, ABT56 a adopté une solution basée sur l’IA dans son processus full digital
en collaboration avec une fintech dans le cadre de la Sandbox57 réglementaire créé par la

54 Stripe, "Introducing Radar for Fraud Teams," Stripe Blog, publié le 19 octobre 2016, https://stripe.com/blog/radar
55 Stripe, "Radar: Real-Time Fraud Prevention with Machine Learning," Stripe Documentation, consulté le 20 mai 2024,
https://stripe.com/docs/radar
56 Attijari Bank de Tunisie.
57 La Sandbox réglementaire est « environnement de test qui permet de surveiller l’expérimentation de solutions innovantes proposées par des

Fintech à petite échelle et avec des clients volontaires ». Il s’agit d’une souplesse octroyée par le régulateur visant à dispenser ponctuellement
les intervenants de certaines obligations sans, toutefois, utiliser la Sandbox réglementaire pour contourner les dispositions réglementaires ou
légales. La Sandbox réglementaire est soumise à des conditions d’accès objectives et des règles de fonctionnement transparentes, neutres et
rigoureuses qui sont publiées sur le Site Web dédié « BCT-Fintech ». Disponible sur : https://fintech.bct.gov.tn/sites/default/files/2020-
02/Guide%20Vfinal.pdf (Consulté le 27/04/2024).

16
BCT58.
Cette solution innovante offre la possibilité à un client potentiel de procéder à l’ouverture
d’un compte bancaire auprès d’ABT, via un parcours à distance sécurisé et cent pour cent
digital.
Le processus commence par le remplissage en ligne de la fiche KYC par le client, fournissant
ainsi les informations nécessaires. Ensuite, lors d’un entretien vidéo, par le biais d’un logiciel
(SIGN-KYC), mené par la solution d’IA, une vérification rigoureuse de l’authenticité de la
personne physique et effectuée. Pour ce faire, des tests de « proof of life »59 sont réalisés afin
de s’assurer qu’il ne s’agit pas d’un robot. Par la suite, la solution compare en temps réel
l’image capturée lors de l’entretien vidéo avec la pièce d’identité présentée par le client afin
de s’assurer qu’il ne s’agit pas d’une personne utilisant des méthodes frauduleuses
d’usurpation d’identité. Grace à l’analyse avancée des caractéristiques faciales et à la
vérification de la correspondance avec les données de l’identité officielle, cette étape garantit
une identification précise et sécurisée de l’individu.
Après l’identisation réussie du client, le processus de création du compte se poursuit
automatiquement par un filtrage du profil en question, en exécutant la solution « KYC »
utilisé par ABT afin de s’assurer que ce dernier ne figure pas sur les listes des sanctions
officielles ou les listes internes de la banque, et en procédant à la vérification de sa situation
auprès le système bancaire via un interfaçage automatique avec la centrale des déclarations
de la BCT60. Une fois toutes les vérifications complétées avec succès, le compte bancaire peut
être ouvert, sans nécessiter de déplacements physiques ni de documents papier, à travers
l’apposition d’une signature électroniques sur les contrats générés61.
Cette solution offre ainsi une expérience pratique et rapide pour les clients, tout en assurant
la conformité réglementaires et la sécurité des transactions financières.
Dans la même optique, l’intégration judicieuse de l’IA dans les outils KYC des banques
engendre une transformation substantielle des pratiques traditionnelles, apportant avec elle
une série d’avantages significatifs qui redéfinissent l’efficacité opérationnelle et la précision
des mécanismes utilisées. En effet, l’IA permet, non seulement, l’amélioration de la détection
des activités suspectes, mais également, l’accélération des processus de gestion du risque et
le renforcement de la précision et de l’efficacité des mécanismes de la LAB-FT.
A) Amélioration de la détection des activités suspectes
L’IA apporte une dimension nouvelle à la gestion des risques LAB-FT en permettant une
amélioration significative de la détection des activités suspectes.
Grace à des algorithmes sophistiqués et à l’analyse de données à grande échelle, les banques
peuvent identifier plus rapidement et avec précision accrue les schémas de transactions
frauduleuses ou atypiques. Cette capacité permet de réduire les faux positifs, tout en mettant
en évidence des comportements suspects non linéaires qui pourraient autrement passer
inaperçus62.

58 ABT, "Communiqué de presse : ABT adopte une solution basée sur l’IA dans son processus full digital en collaboration avec une fintech,"
ABT News, publié le 12 juin 2023.
59 https://www.bioid.com/identity-verification-photoverify/
60 Banque Centrale de Tunisie. (2023). Guide de la procédure de vérification des clients. Tunis: BCT Publications.
61
Attijari Bank Tunisie. Manuel de la solution KYC, 2023.
62 BROWN (D.), Advanced Fraud Detection Techniques in Banking , London: Palgrave Macmillan, pp. 67-69, 2022.

17
En effet, la réduction des faux positifs, une problématique traditionnellement associée aux
méthodes basées sur des règles prédéfinies, constitue l’un des avantages clés de l’utilisation
de l’IA dans la gestion de ce risque à travers par exemple les modèles d’IA capables
d’apprentissage et d’adaptation continus qui affinent progressivement leur capacité à
discerner les activités légitimes des comportements suspects.
Cette adaptation est également observable dans les réseaux de neurones, qui ajustent leurs
seuils de détection en fonction de l’évolution des schémas de transactions minimisant les
erreurs de classification et permettant une identification plus précise des activité à risque tout
en réduisant les alertes erronées.
Par ailleurs, l’intégration de Machine Learning (ML) au cœur de cette révolution, représente
une avancée majeure dans la capacité à identifier des schémas dissimulés et des
comportements déviants au sein de vastes ensemble de données transactionnelles.
Selon les experts en la matière, les techniques d’apprentissage supervisé sont utilisées pour
classer par ordre de priorités les alertes générées par les outils de détection. Cette
classification permet d’attribuer à chaque alerte une catégorie de priorité, dictant ainsi le
mode de traitement qui lui sera appliqué.
La définition des catégories se base sur un processus d’apprentissage qui analyse les alertes
antérieures ainsi que les actions qui leur ont été associées. A l’issue de cette phase
d’apprentissage, les méthodes sont en mesure de proposer une catégorisation pour chaque
nouvelle alerte, en se fondant sur leur similitude avec les alertes précédemment traitées63.
L’introduction de ces modèles de Machine Learning offre un double avantage : améliorer
l’efficacité opérationnelle et réduire le risque réglementaire en permettant un traitement plus
rapide et mieux adapté des alertes prioritaires64.
Cette approche se déploie aisément car elle n’exige pas le remplacement du système de
surveillance existant. Au contraire, elle permet son amélioration progressive tout en intégrant
la technique de Machine Learning au sein des équipes et du système d’information. En outre,
l’incorporation de logiques d’exploitabilité dans les algorithmes assure la traçabilité et
l’audibilité de la catégorisation, ce qui renforce encore davantage les dispositifs en place.
Un aspect clé de renforcement de la précision est l’évolution continue des modèles d’IA. Ces
systèmes apprennent constamment des nouvelles données et ajustent leurs paramètres en
fonction des tendances émergentes du LAB-FT. Cette capacité d’adaptation dynamique
garantit que les mécanismes de gestion du risque restent pertinents et efficaces dans un
paysage financier en constante évolution.
Parmi les exemples qui illustrent l’apport de l’IA, on peut citer les « Systemically Important
Financial Institutions » (SIFIs) au Brésil, évoquées dans le rapport du GAFI : « Les
Opportunités et les défis des nouvelles technologies pour la LAB-FT » (2021)65. Cet exemple
illustre comment la mise en œuvre, par ces institutions, de système d’IA avancés, a amélioré
significativement leurs processus LAB-FT.

63
WHITE (E.), « Machine Learning in Financial Risk Management. », London: Springer, pp. 52-54, 2022.
64 PATEL (R.), « Operational Efficiency and Regulatory Compliance in Banking ». New York: McGraw-Hill, pp. 89-90, 2023.
65 « Machine Learning : une arme efficace contre le blanchiment d’argent el le financement du terrorisme », Article co-écrit avec Nicolas Fleuret

et Alexandre Fenet-Garde, Associés Risk Advisory, 27 février 2019, https://deloitte.fr/machine-learning-une-arme-efficace-contre-le-

blanchiment_d_argent-et-le-financement-du-terrorisme/

18
B) Optimisation des processus de gestion des risques de LAB-FT
La rapidité avec laquelle l’IA évalue la conformité de chaque transaction améliore
considérablement la prise de décision, permettant une meilleure gestion des risques en
anticipant et atténuant les menaces potentielles. Cette accélération se traduit par
l’automatisation de nombreuses taches, permettant aux banques de traiter un plus grand
volume de transactions tout en maintenant des normes élevées de sécurité et de conformité
réglementaire66.
Cette automatisation permet aux banques de libérer les ressources humaines précieuses de
taches manuelles et chronophages, telles que la collecte et l’analyse des données, la
vérification de l’identité des clients, et la détection des transactions suspectes réduisant les
délais de traitement et améliorant la précision des analyses67.
C’est ainsi que dans le contexte de la détection de transactions inhabituelles, les modèles d’IA
peuvent instantanément évaluer la conformité de chaque transaction, distinguant celles qui
nécessitent une enquête approfondie de celles qui sont conformes aux normes établies68. Cette
automatisation permet non seulement de réduire les délais opérationnels, mais également de
garantir une gestion du risque à la fois efficace et rapide. Cette évolution repositionne les
compétences humaines vers des domaines vers des domaines à plus forte valeur ajoutée, ou
l’expertise des professionnels, l’IA favorise une approche plus globale de la gestion du risque,
ou les interactions humaines et les analyses approfondies sont valorisées69.
En outre, la précision accrue des systèmes alimentés par l’IA génère des retombées
financières positives, notamment à travers une réduction significative des couts opérationnels
associés à la gestion des faux positifs. En éliminant les alertes non pertinentes générées par
des systèmes traditionnels -moins sophistiqués-, les institutions financières peuvent
concentrer leurs ressources sur des enquêtes plus approfondies et pertinentes. Cette
optimisation des processus réduit les dépenses liées à la conformité tout en améliorant
l’efficacité globale des mécanismes de gestion des risques.
En somme, le renforcement de la précision et de l’efficacité dans la gestion du risque de la
lutte contre le blanchiment de capitaux grâce à l’intégration de l’IA ne se limite pas à une
amélioration des performances techniques, mais entraine des implications financières
substantielles. La réduction des faux positifs, l’optimisation des couts opérationnels et
l’efficacité accrue des enquêtes démontrant que cette évolution n’est pas seulement
technologique, mais aussi un catalyseur pour une gestion du risque plus agile, économique et
orientée vers des résultats concrets. C’est dans cette combinaison de précision, d’efficacité et
d’adaptabilité continue que l’IA se positionne comme un levier stratégique dans le bon
contrôle et fonctionnement du KYC et assurant une lutte contre les risques inhérents à
l’activité bancaire et particulièrement celui de LAB-FT au sein du secteur financier.
Néanmoins, en dépit de nombreux avantages de l’intégration de l’IA, plusieurs défis
subsistent.

66 SMITH (J.), Artificial Intelligence in Financial Services: Risk and Compliance. New York: Wiley, pp. 45-46, 2022.
67 DOE(A.). « Automation and Efficiency in Banking ». London: Routledge, pp. 112-113, 2023.
68 JHONSON ( L.). & BROWN (M.), « AI in Banking: Innovations and Challenges. Chicago: University of Chicago Press », pp. 78-79, 2021.
69 Thompson, (R.) « Risk Management in the Age of AI. Boston: Harvard Business Review Press », pp. 95-96, 2020.

19
Section 2 : Les défis liés à l’intégration de l’IA dans les outils KYC
Dans cette deuxième section, nous examinerons les défis liés à l'intégration de l'intelligence
artificielle (IA) dans les outils KYC (Know Your Customer). Cette analyse sera divisée en
deux sous-sections distinctes.
Le premier paragraphe se concentrera sur le cadre réglementaire de l’IA (paragraphe 1 er) et
la seconde section abordera les défis pratiques (paragraphe 2ème) , incluant les problèmes liés
à l'exactitude des modèles prédictifs, la gestion des faux positifs et négatifs, ainsi que
l'intégration des technologies IA avec les systèmes existants. En explorant ces deux
dimensions, nous visons à fournir une compréhension exhaustive des obstacles à surmonter
pour une adoption efficace et responsable de l'IA dans les processus KYC.
Paragraphe 1 : Le cadre réglementaire
Le GAFI encourage activement l’adoption des nouvelles technologies en matière d’une
efficace application de l’obligation KYC et de gestion des risques, reconnaissant leur
potentiel leur règlementation et d’une supervision appropriées pour garantir que leur
utilisation se fait en conformité avec les normes internationales et pour atténuer les risques
potentiels70.
Cela implique d’adopter des mesures de diligence raisonnable appropriées pour évaluer et
atténuer les risques associés à l’utilisation de ces technologies, mais également de mettre en
place des réglementations et des contrôles adaptés pour prévenir les abus et assurer la sécurité
des transactions financières. C’est ce que nous allons explorer dans un premier paragraphe
traitant du cadre international pour ensuite explorer l’état des lieux du cadre national régissant
d’IA.
A) Cadre International
Selon le rapport de McKinsey conclu suite aux résultats d’une enquête, menée sur le terrain
à la mi-avril 2023, « The State of AI in 2023 : Gererative AI’s breakout year »71 les risques,
les plus cités, liés à l’utilisation de l’IA comprennent l’inexactitude, la cybersécurité, la
violation de la propriété intellectuelle et la conformité réglementaire. Pour réduire ces risques,
les régulateurs peuvent imposer des normes de sécurité strictes pour les systèmes d’IA et
exiger des entreprises qu’elles effectuent des évaluations de sécurité régulière.
L’Etat actuel et les perspectives du cadre réglementaire d’IA sont des éléments déterminants
pour encadrer son déploiement de manière éthique, sécurisée et conforme aux normes
établies. En analysant les directives en vigueur, les normes émises par les autorités
compétentes et les initiatives internationales, nous dresserons un panorama des règles qui
encadrent l’utilisation de l’IA.
Il est essentiel de noter que la question de savoir s’il faut adopter des réglementations
spécifiques à l’IA ou s’appuyer sur des cadres plus rigoureux est un débat en cours au niveau
international. Les organisations internationales, telles que l’Organisation de Coopération et

70Voir le rapport GAFI « Opportunities and challenges of new technologies for AML/CFT », 1er juillet 2021, p.7 et s.).
71 Il s’agit d’une enquête en ligne menée par l’équipe d’enquête de McKinesy Global Publishing. Elle s’est déroulée du 11 au 12 avril2023 et à
recueillir les réponses de 1684 participants représentant l’ensemble des régions, des secteurs, de la taille des entreprises, des spécialités
fonctionnelles et des mandats. Parmi ces personnes interrogées, 913 ont déclaré que leur organisation avait adopté l’IA dans au moins une
fonction et ont été interrogées sur l’utilisation de l’IA par leur organisation.
https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai-in-2023-generative-ais-breakout-year consulté le 10
mai 2024.

20
de Développement Economiques (OCDE), cherchant à établir des normes mondiales pour
l’IA, reconnaissant la nécessité d’une collaboration mondiale pour relever les défis
transfrontaliers posés par cette technologie72.
Toutefois, alors que certains pays ont adopté des lignes directrices spécifiques à l’IA et des
réglementations dédiées, d’autres ont des cadres plus généraux qui ne traitent pas
spécifiquement des aspects liés à l’IA.
Dans ce cadre, en avril 2019, l’Union Européenne (UE) a publié des lignes directrices73 pour
une IA digne de confiance, qui mettent l’accent sur sept principes éthiques :
Aux Etats-Unis, l’administration Trump a publié un décret exécutif sur l’IA le 3 décembre
2020 intitulé « Promoting the Use of Trustworthy Artifial Intelligence in The Federal
Govermment ». Ce décret établit des principes pour une utilisation responsable de l’IA dans
le gouvernement fédéral des Etats-Unis, qui sont similaires à ceux des lignes directrices
éthiques de l’Union européenne pour une AI digne de confiance. Les principes du décret
exécutif américain sont les suivants : la responsabilité, la confidentialité et la sécurité, des
droits individuels et la non-discrimination, et l’innovation et la concurrence.
B) Cadre national
L’IA bouleverse de nombreux aspects de notre société, et la Tunisie n’échappe pas à cette
révolution. Le pays s’est engagé dans une dynamique prometteuse pour tirer parti des
potentialités de l’IA, tout en veillant à minimiser les risques et à garantir un développement
éthique et responsable de cette technologie.
La Tunisie ne dispose pas encore d’une loi spécifique à l’IA. Cependant, plusieurs textes
inexistants posent les bases d’une réglementation progressive. La loi sur la protection des
données personnelles, adoptée en 2004, joue un rôle crucial en encadrant l’utilisation des
données, élément vital pour le fonctionnement des systèmes d’IA. Le Code des
télécommunications et le Code de la propriété intellectuelle contribuent également à la
régulation de l’IA, en abordant respectivement les questions de cybersécurité et de protection
des inventions liées à l’IA.
En effet, consciente de l’importance de l’IA, la Tunisie s’est lancée dans l’élaboration d’une
stratégie nationale dédiée74. Ce document, en cours de finalisation, définira une vision claire
pour le développement et l’utilisation de l’intelligence artificielle dans le pays. Il permettra
d’identifier les secteurs prioritaires d’intervention, les ressources nécessaires et les
mécanismes de coordination entre les différents acteurs impliqués.
La mise en place d’un comité national est une initiative importante pour coordonner les efforts
et piloter la mise en œuvre de la stratégie nationale. De plus, plusieurs projets de recherche
et d’innovation sont en cours dans divers domaines, tels que la santé, l’agriculture et
l’éducation. Ces initiatives visent à développer des applications concrètes de l’IA et à
renforcer les capacités nationales dans ce domaine.
Cependant, malgré les progrès réalisés, la Tunisie est encore confrontée à plusieurs défis pour
tirer pleinement parti de l’IA. L’absence d’une loi spécifique freine l’investissement et crée
72OECD Leagal and Instruments
73
Ces lignes directrices ont été élaborées par un groupe d’experts de haut niveau sur l’IA et la confiance, crée par la Commission européenne en
2018.
https://eur-lex-europa-eu/legal-content/FR/TXT/HTML/?un=CELEX:52021PC0206 , consulté le 10 mai 2024.
74https://kapitalis.com/tunisie/2022/02/20/tunisie-vers-lelaboration-de-la-strategie-nationale-de-lintelligence-artificielle

21
un flou juridique. Le renforcement des capacités, tant au niveau des développeurs et des
utilisateurs que des décideurs politiques, est crucial pour garantir une utilisation responsable
de l’IA. La sensibilisation du public aux potentialités et aux risques d’IA est également un
enjeu important.
L’IA offre en Tunisie un immense potentiel de développement économique et social. En
stimulant l’innovation et la création de nouvelles industries, l’IA peut contribuer à la création
des emplois et à l’amélioration de la qualité de vie des citoyens. La Tunisie a également
l’opportunité de devenir un hub régional pour l’IA en Afrique du Nord, en attirant des
investissements et des talents étrangers.
Bien que la Tunisie ait encore des défis à relever, elle dispose d’un écosystème de startups
actif en matière d’IA.
Bien que le cadre réglementaire de l’IA en Tunisie soit encore en cours de développement,
ces initiatives et ces efforts démontrent un engagement en faveur d’une utilisation éthique et
responsable de l’IA dans le pays.
En cernant les contours de l’Intelligence Artificielle et son évolution dans le temps nous avons
pu jusqu’à présent voir la croissance exponentielle qu’a connue l’IA ces dernières années.
Ces progrès ont ouvert de nombreuses opportunités dans divers secteurs, y compris la finance
et la LAB-FT, néanmoins, les institutions financières doivent être conscientes des risques et
des défis liés à l’utilisation de l’IA.
L’adoption de réglementations spécifiques à l’IA dans le secteur bancaire répond à la
nécessité de protéger les clients, d’assurer la stabilité financière et de prévenir les pratiques
potentiellement préjudiciables. Dans un contexte où les banques intègrent de plus en plus l’IA
pour optimiser leurs opérations, il est impératif d’établir des normes qui garantissent les
enjeux éthiques, tels que la transparence des algorithmes, la responsabilité des décisions, la
sécurité des données financières et la prévention de la discrimination. Les régulateurs devront
également s’adapter à l’évolution rapide de la technologie et anticiper les futurs défis éthiques
et sécuritaires.
La deuxième section de ce mémoire se consacrera aux défis pratiques liés à l'intelligence
artificielle (IA), en explorant les obstacles techniques, éthiques et réglementaires qui
entravent son déploiement efficace et responsable dans divers secteurs.
Paragraphe 2 : Les défis pratiques de l’IA
Les défis pratiques de l’intégration par les banques de l'intelligence artificielle (IA) dans
les outils de Lutte Anti-Blanchiment de capitaux et Financement du Terrorisme (LAB-FT)
représentent une phase critique dans la mise en œuvre effective de ces technologies. Cette
partie examine les obstacles concrets qui surgissent lors de la transition de la théorie à la
pratique, en mettant en lumière les complexités spécifiques liées à la règle KYC (Know Your
Customer). Elle explore comment les banques doivent naviguer entre l'optimisation des
contrôles KYC grâce à l'IA et la gestion des défis tels que la protection des données,
l'interprétation des résultats générés par l'IA, et l'alignement avec les régulations en constante
évolution.

22
A) Déploiement à grande échelle et capacité de traitement des données
Le déploiement à grande échelle des outils basés sur l’intelligence artificielle (IA) pose, aux
banques, des défis significatifs en termes de traitement des données. Lorsque l’on considère
les volumes massifs de données clients et des transactions financières générées
quotidiennement, les banques doivent s’assurer qu’elles disposent d’une infrastructure bien
adaptée et capable d’analyser ces flux de données de manière efficace75.
En outre, la flexibilité et l’évolutivité de l’infrastructure sont des éléments cruciaux pour
s’adapter à la nature dynamique des flux de données. Les schémas de transactions financières
évoluent avec le temps, et l’infrastructure doit être capable de s’ajuster rapidement pour traiter
de nouveaux types de données76.
Le déploiement à grande échelle des outils d’IA dans la lutte bancaire contre le LAB-FT
nécessite une infrastructure puissante, flexible et évolutive. La capacité de traitement des
données doit être adaptée aux données massives liées aux transactions financières, tout en
maintenant des performances optimales77.
B) Formation et acceptation par les utilisateurs
L'intégration de l'intelligence artificielle dans le processus Know Your Customer (KYC)
et la gestion des risques représente une avancée majeure pour le secteur bancaire. Toutefois,
pour tirer pleinement parti des avantages offerts par ces technologies, il est crucial de mettre
en place une stratégie bien définie de formation et d'acceptation par les utilisateurs. La
transition vers l'IA ne peut être réussie sans une compréhension approfondie de son
fonctionnement et de sa valeur ajoutée aux processus opérationnels, ainsi qu'une adoption
généralisée par le personnel bancaire. Dans cette perspective, la formation continue et une
communication transparente sur les avantages de l'IA sont des éléments essentiels pour
surmonter les réticences et créer une culture d'innovation au sein des banques.
La formation continue est la pierre angulaire de toute initiative visant à intégrer de nouvelles
technologies, comme l'IA, dans les processus bancaires. Premièrement, il est indispensable
que les employés acquièrent une compréhension approfondie des outils d'IA qu'ils vont
utiliser. Cette formation doit couvrir le fonctionnement des algorithmes, les processus de
collecte et d'analyse des données, ainsi que les mécanismes de prise de décision automatisée.
Une telle connaissance permet aux utilisateurs de voir comment l'IA peut améliorer les
processus existants et d'apprécier les gains d'efficacité et de précision qu'elle peut apporter.
Ensuite, la formation ne doit pas se limiter à une introduction initiale. Des programmes de
formation continue doivent être mis en place pour garantir que les compétences du personnel
évoluent en parallèle avec les avancées technologiques. Les simulations et les ateliers
pratiques, où les employés peuvent interagir directement avec les outils d'IA, sont
75 McKinsey & Company ,Artificial Intelligence in Banking: The Changing Landscape, 2022. Disponible sur :
https://talents.openclassrooms.com/blog/ia-generative-en-entreprise (Consulté le 13/05/2024).
76
Accenture. "Building a Flexible and Scalable Infrastructure for AI in Banking." 2023.
77 PWC,"AI Infrastructure for Anti-Money Laundering and Financial Crime." 2022. Disponible sur : https://www.pwc.com/gx/en/issues/risk-

regulation/financial-crime-managed-services/technology-in-financial-crime-prevention.html (Consulté le 14/05/2024)

23
particulièrement efficaces pour renforcer leur compréhension et leur confiance dans
l'utilisation de ces technologies.
La réussite de l'intégration de l'IA repose également sur une communication transparente sur
ses avantages. Il est crucial de démontrer clairement comment l'IA peut compléter et renforcer
les compétences existantes du personnel. Par exemple, en automatisant la vérification des
documents ou en détectant les comportements suspects de manière plus rapide et plus précise,
l'IA peut considérablement alléger la charge de travail des employés et améliorer l'efficacité
opérationnelle.
Pour réduire les réticences, il est important de rassurer les employés sur le fait que l'IA ne
vise pas à remplacer les emplois humains, mais plutôt à les augmenter. En soulignant les
aspects où l'IA peut améliorer les performances, comme la réduction des faux positifs et la
capacité à détecter des schémas complexes ou des signaux faibles, les employés peuvent voir
l'IA comme un outil précieux qui les aide à exceller dans leurs rôles.
Enfin, pour garantir une adoption généralisée de l'IA, il est essentiel de créer une culture
d'entreprise qui valorise l'innovation et l'adoption des nouvelles technologies. La
sensibilisation aux avantages spécifiques de l'IA et la mise en évidence de ses succès dans
d'autres secteurs peuvent encourager les employés à embrasser ces technologies. En
valorisant l'adoption de l'IA et en montrant comment elle peut transformer positivement leur
travail quotidien, les banques peuvent instaurer une culture où les employés sont motivés à
utiliser ces outils pour améliorer leur performance.
C) Gestion des couts
La gestion des couts tout au long du cycle d’intégration de l’IA représente un défi majeur
pour les banques. Il est essentiel de gérer judicieusement les couts liés à l’acquisition, la mise
en œuvre, la formation et la maintenance des outils de l’IA avec la règle KYC78.
La résolution des défis pratiques de l’intégration de l’IA dans la KYC ainsi dans les outils de
LAB-FT nécessite une approche collaborative. La collaboration entre les équipes techniques,
les experts d’IA et les acteurs opérationnels est cruciale pour réussir l’intégration sur les plans
logistiques, techniques et financiers79.
En adoptant une approche réfléchie et en mettant en place des mesures appropriées, les
institutions financières peuvent tirer pleinement profit des améliorations que l’IA apporte tout
en assurant une gestion efficace et éthiques des risques et maximiser l’efficacité de leurs
contrôle et application80.

78 Gestion des coûts dans l'intégration de l'IA avec la règle KYC, Banque Mondiale, "Integrating Artificial Intelligence in KYC and AML
Compliance", 2020, pp. 12-15, https://www.worldbank.org/en/topic/financialinclusion/brief/integrating-artificial-intelligence-in-kyc-and-aml-
compliance
79 Collaboration pour résoudre les défis de l'intégration de l'IA, Banque Mondiale, "Integrating Artificial Intelligence in KYC and AML

Compliance", 2020, pp. 20-23, https://www.worldbank.org/en/topic/financialinclusion/brief/integrating-artificial-intelligence-in-kyc-and-aml-

compliance
80 Approche réfléchie pour maximiser les bénéfices de l'IA, Banque Mondiale, "Integrating Artificial Intelligence in KYC and AML

Compliance", 2020, pp. 30-33, https://www.worldbank.org/en/topic/financialinclusion/brief/integrating-artificial-intelligence-in-kyc-and-aml-

compliance

24
25