Vérification d’identité : que deviennent vos données ?

La vérification d’identité est devenue obligatoire pour les secteurs des banques, assurances ou services de paiement afin de s’assurer qu’il n’y a pas de fraude ou de blanchiment d’argent.

Pour les services en ligne, il s’agit d’avoir un niveau d’assurance équivalent au face à face. Ce niveau d'exigence implique de donner accès à une pièce d’identité et à certaines données personnelles au service chargé de vous identifier.

Plus précisément, il vous sera généralement demandé un scan de l’un de vos documents d’identité biométrique (Carte identité, passeport...) et une preuve de vivant, souvent sous la forme d’une vidéo.

S’il est devenu nécessaire de s’assurer de l’identité de ses utilisateurs avec la réglementation KYC, l’organisme de contrôle chargé de cette vérification doit être fiable et faire un usage responsable des données.

A l’international, plusieurs escroqueries ont été reportées, prenant par exemple la forme de faux entretiens d’embauche en visioconférence où les “recruteurs” demandaient des documents d’identité ou encore de faux services de crypto-monnaies nécessitant une identification.

Même dans le cas de services légitimes, la conservation des copies des pièces d’identité et données personnelles est souvent problématique.

De nombreux services sous-traitent une partie de leurs vérifications d’identité à d’autres prestataires, les données transitent alors, souvent de pays en pays. Comment, dans ces conditions, peut-on maintenir un contrôle sur ses données ?

L’Europe, via son règlement européen eIDAS (Electronic IDentification And Trust Services), apporte un cadre légal concernant les moyens d’identification et des données qui y sont rattachées.

En France, et dans le cadre de ce règlement, l’ANSSI devrait fournir à l’été 2021 un cahier des charges permettant à des entreprises de certifier leur service d’identification numérique. D’ici là, les services conforment à l’esprit du règlement eIDAS sont présumés fiables.

La réglementation en vigueur précise pour tous les niveaux de vérification que les données récoltées doivent être “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”. Elles peuvent être conservées et protégées aussi longtemps que nécessaire pour la vérification, après quoi les informations doivent être détruites en toute sécurité.

Il est important de noter qu’il est autorisé dans le cadre de fichiers clients ou prospects de conserver par exemple la date de naissance, le nom et le prénom d’une personne, mais pas la copie d’une pièce d’identité.

Le 14 Septembre 2020 par Dahbia D.