KYC et confidentialité des données : une perspective dans les applications financières
L'article aborde la problématique de la confidentialité des données dans le secteur financier, mettant en lumière les défis liés à l'automatisation de la vérification des documents des utilisateurs.
Dans le cadre d'une récente mission, j'ai été chargé de réaliser une évaluation technique initiale de cinq plateformes financières envisagées pour acquisition. Mes responsabilités comprenaient des interactions avec des représentants de ces plateformes d'investissement afin d'évaluer la fonctionnalité globale et l'état de leurs systèmes.
Muni d'un questionnaire approfondi visant à mesurer la qualité et la réflexion derrière ces plateformes, mon attention a été particulièrement attirée par le défi de l'automatisation de la vérification des documents des utilisateurs. Conformément aux exigences de la Connaissance de Votre Client (KYC), les plateformes financières sont tenues de valider les documents téléchargés par les utilisateurs pour en assurer l'exactitude et l'authenticité, en mettant l'accent sur la détection des vols ou de la validité expirée. Ce processus est souvent bien compris par ceux impliqués dans le développement et le support de telles plateformes.
Une part importante de mon évaluation s'est concentrée sur l'automatisation de la vérification des documents via un prestataire de services tiers non divulgué. Ce prestataire, opérant sur la base d'une offre de services, proposait de vérifier les détails du passeport de l'utilisateur et de vérifier si le passeport avait été signalé comme volé ou perdu. Pour effectuer cette analyse, des détails complets du passeport de l'utilisateur étaient requis sous un format ouvert via un accès API.
Le problème fondamental réside dans le fait que les plateformes ne sont pas autorisées à transmettre des données personnelles à des tiers. Même si des tentatives sont faites pour obtenir le consentement de l'utilisateur pour le transfert de données à ce prestataire de services via une case à cocher ou une clause de consentement dissimulée dans l'accord utilisateur de la plateforme financière, la légitimité de telles actions reste douteuse.
Au minimum, les utilisateurs devraient avoir la possibilité de consulter la politique de confidentialité du service API utilisé pour la vérification KYC sur la plateforme financière. Ces informations doivent être transparentes, et les utilisateurs doivent comprendre clairement que leurs données sont consultées par une organisation tierce à des fins spécifiques dans des conditions prédéterminées. Serait-ce confortable pour moi que mes données de passeport soient envoyées à ce prestataire de services non spécialisé ? Très probablement non.
Un prestataire de services spécialisé repose sur sa réputation en tant que service KYC. En revanche, un prestataire de services non spécialisé peut ne pas comprendre pleinement le niveau de responsabilité lorsqu'il traite de telles informations sensibles, compte tenu de sa multitude d'autres services (non KYC) fournis via des APIs, y compris la vérification des documents.
Sécuriser le processus pour un tel prestataire de services implique de rechercher un autre fournisseur offrant des services KYC similaires via une API. Ils ne reçoivent aucune donnée personnelle de la plateforme financière mais effectuent toujours la vérification. Le mécanisme implique de transformer toutes les données personnelles de l'utilisateur en hachages SHA512 avant d'être transmises via l'API. Les données du passeport de l'utilisateur chez ce prestataire de services sont également stockées dans la base de données sous forme de hachages, de manière similaire à la façon dont les services modernes sécurisent les mots de passe des utilisateurs pour éviter les fuites. Le prestataire de services compare ensuite les hachages reçus via l'API avec les hachages des passeports perdus dans sa base de données et fournit le résultat de la vérification.
Cette solution distinctive du prestataire de services a efficacement éliminé le risque de fuites potentielles de données, couvrant à la fois les données fournies via l'API et les données personnelles des passeports invalides dans la base de données du prestataire de services. Les données chiffrées interceptées pendant la transmission seraient inutiles aux pirates en raison de l'algorithme utilisé. Notamment, même les propriétaires et les développeurs du prestataire de services KYC n'ont pas la capacité de déchiffrer les données, car elles se composent uniquement de hachages uniques.