« Le KYC a un lien naturel et fort avec la confiance »

 

Quentin Drouot a rejoint en début d’année Archipels, ce consortium créé autour de l’identité numérique par de grands groupes français (Engie, La Poste, EDF, la Caisse des Dépôts), qui a notamment développé une plateforme de certification documentaire sur technologie blockchain. Le Chief Technology Officer répond à nos questions sur le KYC (« Know Your Customer ») et sur l’apport que représente la technologie blockchain dans ce domaine.

 

Quel est l’intérêt d’utiliser la blockchain pour des procédures KYC ?

Le KYC a un lien naturel et fort avec la confiance. Sous plusieurs aspects : l’entrée en relation d’affaires, le besoin de limiter les risques de fraude réglementaire, la nécessité de respecter le cadre légal… Il faut instaurer de la confiance, et c’est là qu’intervient la blockchain : elle génère de la confiance, c’est même son but. Tout d’abord parce qu’elle repose sur des mécanismes mathématiques et cryptographiques, mais aussi parce qu’elle est décentralisée, et donc très contrôlée.

La confiance se juge à travers quatre principes :

• L’intégrité : c’est le cas pour la blockchain qui permet de s’assurer que les données n’ont pas été modifiées ; des procédés cryptographiques lient les blocs les uns aux autres, ce qui permet un contrôle permanent de chaque modification.
• La non-répudiation qui permet que toute action soit authentifiée, traçable. Toute modification, toute transaction peut ainsi être retrouvée, et s’assurer qu’elle n’a pas été altérée.
• La neutralité : tous les traitements réalisés sont neutres et codifiés par un protocole. Ce qui signifie que personne ne peut unilatéralement empêcher les autres d’agir, et que tout le monde peut vérifier ce bon fonctionnement.
• L’interopérabilité : la blockchain permet d’éviter l’« enfermement propriétaire » : par exemple, lorsqu’on utilise une solution propriétaire, en cas de panne ou de changement d’opérateur, il peut être difficile, voire impossible, de migrer les données ailleurs. Avec la blockchain, la question ne se pose pas, puisqu’elle est open source.

 

Concrètement, comment cela fonctionne-t-il ?

La blockchain intervient à différents niveaux. Elle constitue d’abord un registre de justificatifs et d’actions pour porter et contrôler les identités. Par exemple, Archipels travaille avec EDF sur les justificatifs d’identité que les clients demandent. Une preuve est instanciée sur une blockchain pour certifier chaque justificatif émis. L’intégrité et l’authenticité du document peuvent donc être vérifiées. Si des organismes ont besoin de contrôler ces documents, Archipels peut leur montrer la preuve qu’ils ont bien été enregistrés sur la blockchain d’EDF.

Il est possible d’aller plus loin : il ne s’agit pas alors de certifier un document via la blockchain, mais directement les informations qu’il contient, par exemple un nom ou une adresse. Cette émission d’attestation d’attributs permet de certifier des informations, mais en deux temps : des certifications sont mises à disposition via EDF à des personnes, qui peuvent ensuite les utiliser lors de leurs démarches bancaires.  

La blockchain peut-elle être couplée avec l’IA pour automatiser les procédures KYC ?

Il y a plusieurs façons d’envisager ce rapprochement entre l’intelligence artificielle et la blockchain. Mais je suis méfiant, l’IA et le KYC sont des sujets sensibles dans lesquels il est question de données personnelles, avec des réglementations logiquement assez fortes. Marier IA et KYC est possible sur des sujets comme les cryptomonnaies, pour la validation de la provenance de fonds par exemple.

Mais utiliser les procédures KYC pour vérifier des informations sur la blockchain, je reste assez méfiant. C’est d’ailleurs un service qui n’est pas encore très proposé. Je suis plus enthousiaste sur les possibilités de l’identité décentralisée, qui pourrait transformer les procédures KYC habituelles. Par exemple, lorsqu’une banque fait une offre de prêt à un client, si celui-ci accepte, il doit envoyer toute une série de documents contenant des informations que la banque va devoir authentifier. Mais avec une identité décentralisée, on pourrait éviter cette période de coupure dans l’entrée en relation d’affaires. L’idée est de pouvoir présenter des documents déjà certifiés, via un wallet et une blockchain.

L’utilisation de la blockchain pour le KYC est-elle compatible avec le RGPD, notamment le droit à l’effacement des données ?

C’est l’un des principaux enjeux actuels. Les technologies blockchain sont transparentes : On voit l’intégralité des transactions, et on peut les retracer. C’est cette transparence qui génère la confiance, mais elle a évidemment ses limites : lors d’une émission de justificatif de domicile pour EDF par exemple, on verra juste qu’EDF a certifié un document, mais rien de plus, aucune donnée du document n’est accessible.

Actuellement l’utilisation de la blockchain dans ces domaines se fait via une surcouche, pour respecter le RGPD. C’est ce que nous avons fait chez Archipels, avec notamment un découplage entre l’infrastructure blockchain et les informations émises par les émetteurs.

Le KYC a également un aspect marketing, quel est l’intérêt de la blockchain dans ce domaine ?

On est dans le domaine de l’exploration. Il y a quelques années, je me souviens que Carrefour avait utilisé l’Ethereum pour la traçabilité de ses poulets… Et ça avait bien fonctionné en termes de ventes et de communication. Mais je ne suis pas sûr que ça fonctionnerait encore aujourd’hui, le marché est plus mature.

Pour le KYC, faut-il privilégier une blockchain publique ou une blockchain privée ?

Pour la confiance, il vaut mieux une blockchain publique puisqu’elle permet à quiconque de vérifier et valider les transactions. Mais il y a d’autres enjeux comme les données personnelles et l’anonymat, ainsi que la question de l’environnement, pour laquelle une blockchain publique, forcément décentralisée, pose problème. C’est moins le cas avec une blockchain privée, comme celle que nous utilisons chez Archipels. Et puis il y a évidemment l’aspect juridique : on ne sait pas qui sont les responsables de traitement dans une blockchain publique, ce qui peut poser un souci en cas de litige.

Le règlement eIDAS risque d’évoluer sur ce point, avec la notion de « ledger qualifié » (« registre qualifié »). On ne connait pas encore les prérequis techniques, mais pour des blockchains publiques ça semble compliqué à cause de cette question de responsabilité, mais aussi parce que la durée des transactions n’est pas forcément infinie sur une chaine publique. Alors que sur une blockchain privée, on peut mettre en place des transactions qui ne seront jamais effacées.

Y a -t-il un cadre légal spécifique concernant la blockchain et le KYC ?

Je ne pense pas, il y a simplement quelques dispositions concernant la blockchain. Encore une fois, cela pourrait changer avec la nouvelle version du règlement eIDAS, et notamment la notion d’attributs électroniques certifiés, comme des éléments d’identité.

L’interopérabilité est une notion essentielle : les solutions de KYC avec blockchain sont-elles compatibles avec celles qui n’utilisent pas la blockchain ?

Oui, cela ne pose pas de souci. Nous avons par exemple des offres de KYC hybrides : si un client souhaite un certificat de preuve enregistré sur la blockchain, nous lui fournissons et il peut ensuite la stocker dans son système « classique », dans lequel un contrôle manuel pourra être effectué. Avec la blockchain, le but n’est pas de bloquer les gens sur une technologie, au contraire.

Quel est selon vous le plus grand défi actuel concernant les protocoles KYC via blockchain ?

Il y a tout d’abord la question de l’anonymisation. Il faut être transparent sans dévoiler les données sous-jacentes, et c’est un enjeu souvent négligé dans la blockchain alors qu’il peut y avoir un risque de trace indélébile partagée par tous. Il faut intégrer cette problématique, ce qui oblige souvent à réarchitecturer les solutions.

Il y a également la thématique de l’identité décentralisée sur laquelle Archipels vient de publier un livre blanc. C’est une notion très intéressante qui pourrait impacter la vie de tout le monde, notamment dans la gestion de mots de passe. Il pourrait y avoir un « wallet » (« porte-feuille » en français ) comprenant tous les types d’identité :  régaliennes, sur les sites, les réseaux sociaux, etc. Il y a encore des problèmes d’interopérabilité, mais c’est un sujet qui doit avancer. Archiphels y travaille actuellement avec la Commission européenne et le Canada sur ces sujets. Nous préparons une réponse aux GAFAM, qui vont certainement proposer leur propre solution…