KYC : Concilier la Blockchain et le RGPD

Article paru le 15 octobre 2018 | Partager sur les réseaux sociaux

Classé dans : Banque, Finance Blockchain Réglementaire

Il y a quelques mois les articles dithyrambiques sur les opportunités que présentait la blockchain dans le cadre des processus KYC des banques pleuvaient. Et pour cause, cette technologie qui permet un reporting partagé, fiable et sécurisé, semblait être une alternative alléchante aux processus KYC actuels. Avec la blockchain, s’en était donc fini de la course effrénée aux justificatifs et des économies importantes se profilaient à l’horizon. Mais, c’était sans compter sur la mise en place du Règlement Général sur la Protection des données (RGPD). Vraiment ?

Ce que la blockchain apporte aux processus KYC ?

Dans le cadre de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT) ou encore de la lutte contre l’usurpation d’identité, l’identification et la connaissance de la clientèle, également appelée KYC (Know Your Customer) doit être toujours plus affinée pour répondre aux exigences réglementaires : identité, situations familiale et professionnelle, coordonnées, salaire…
Or, les processus actuels établis peuvent s’étaler sur plusieurs jours voire parfois plusieurs semaines. Ils induisent d’une part, une dégradation de la relation client car ils sont très lourds administrativement et, d’autre part, des coûts importants car ils mobilisent de nombreuses ressources humaines au sein des banques.

Partant de ce constat, l’utilisation d’une blockchain de type privée ou de consortium qui permettrait le stockage des informations relatives à l’identité d’un client de façon rapide, fiable, sécurisée et en temps réel (24/7) apparaissait comme salvatrice [1].

Blockchain et le RGPD : l’incompatibilité

Suite à la mise en application du RGPD, fin mai 2018, Parity a dû fermer la plateforme PICOPS, qui était utilisée pour de nombreuses ICO basées sur Ethereum. Le service permettait des procédures de conformités KYC (Know Your Customer) et AML (anti-blanchiment) pour les ICO, en authentifiant le propriétaire d’une adresse Ethereum. Lors de l’annonce de la fermeture, la société a précisé par le biais d’un communiqué qu’ils cherchaient « des moyens de résoudre l’incertitude et de rendre PICOPS conforme au RGPD, tout en préservant son utilité. » mais que, dans l’état actuel des choses, les solutions […] identifiées limitaient le service à un ensemble très limité de fonctionnalités. Il n’avait donc plus lieu d’être. Mais qu’en est-il vraiment ?

En réalité, seules les blockchains publiques et ouvertes, comme celle du bitcoin, concentrent la plupart des problématiques juridiques. En effet, dans ce cas, la blockchain est une entité décentralisée qui n’appartient à personne et permet d’effectuer et d’enregistrer différentes transactions dans un registre partagé accessible par tous. Une fois enregistrées ces informations sont inaltérables et non effaçables.

Dans ce type de blockchain, on comprend aisément qu’il est impossible de désigner un responsable du traitement des données comme le stipule l’article 4 du RGPD ou encore, qu’il est impossible de respecter l’article 17 permettant le droit à l’oubli et l’article 5 qui fixe une limite à la conservation des données [2].

Les Blockchains privées et hybrides sont RGPD compliant

Dans le cas d’une blockchain dite « administrée », le fonctionnement de la blockchain est organisé et encadré par un administrateur. Cet administrateur, qu’il s’agisse d’une entité ou d’un groupement de personnes, est responsable de garder la main sur les transactions et potentiellement de les contrôler et les rectifier, d’où une application facilitée du RGPD. C’est le cas :

  • des blockchains privées : souvent envisagées pour le raccordement de divers systèmes d’information dans le cadre d’une organisation fermée, les blockchains privées opèrent sur un réseau privé sur lequel l’administrateur peut modifier le protocole quand il le souhaite. L’accès et la modification des informations sont restreints aux seules personnes autorisées.
  • des blockchains de consortium : souvent qualifiée d’ « hybride », elles regroupent plusieurs acteurs, mais ne sont pas publiques et ouvertes à tous. Dans ce type de blockchain, les droits d’écriture et de modification sont personnalisables. Certains nœuds sont publics tandis que d’autres peuvent rester privés. Leur caractère modulable s’adapte bien au contexte très réglementé dans lequel opèrent les banques et peut répondre aux problématiques engendrées par le RGPD en termes de KYC.

Les expérimentations blockchain KYC

Aujourd’hui plusieurs expérimentations de blockchain de consortium sont en cours sur le sujet KYC [3].

Le fournisseur de technologies et de services financiers Synecron, et le consortium de la blockchain R3, qui regroupe 42 banques, se sont associés afin de proposer une solution de KYC (Leia ) reposant sur une blockchain dite « de consortium ». Cette solution, qui devrait résoudre les problèmes liés à la collecte, la validation, la confidentialité des données et l’expérience client, permettrait aux utilisateurs finaux de contrôler la distribution de leurs données. Elle devrait garantir une sécurité des données client, qui seraient cryptées afin qu’elles ne soient exposées qu’aux tiers concernés.

En France, c’est le consortium LabChain initié par la Caisse des Dépôts qui a lancé son premier POC sur le sujet de l’identification des clients. Dans une interview, Nadia Filali, la directrice du programme déclare que les équipes techniques travaillent toujours sur le POC et que ce travail nécessite beaucoup d’échanges avec les régulateur et différents acteurs qui interviennent dans le processus KYC.

En attendant, la finalisation de ces solutions, la CNIL, la commission nationale informatique et liberté, chargée de faire respecter le RGPD en France, devrait donner, dans un futur proche, des réponses concrètes pour tenter de concilier RGPD et blockchain. En effet, elle a reçu de nombreuses demandes de clarification sur l’application de la part d’institutions publiques et privées.

Article rédigé par Laura White

Partagez cet article sur les réseaux sociaux