Le paradoxe de la vie privée : réguler la finance à connaissance zéro dans l'UE et au-delà

La conformité financière a toujours été équilibrée sur une ligne délicate : les régulateurs ont besoin d'une visibilité suffisante pour empêcher les acteurs malveillants, mais les utilisateurs souhaitent que leur vie financière reste privée simplement pour effectuer un paiement ou une transaction. En 2025, cette tension est plus aiguë que jamais. Nous avons des règles anti-blanchiment (AML) plus strictes, des régimes de protection des données plus étendus, davantage d'activités transfrontalières et, en même temps, une technologie de confidentialité améliorée comme jamais auparavant.

La bonne nouvelle, c’est que nous n’avons plus à sacrifier la vie privée pour assurer la conformité. Les preuves à divulgation zéro (ZKPs) offrent une solution au soi-disant paradoxe de la vie privée : les régulateurs ont besoin d’assurance que les règles sont respectées, mais exposer l’identité complète et les détails des transactions crée des risques de sécurité, juridiques et de protection des données. Les ZKPs nous permettent de passer du modèle « montrez-moi les données » à « montrez-moi une preuve », permettant aux entreprises de démontrer leur conformité sans révéler les informations sous-jacentes.

Cette approche n’est pas conçue pour masquer la surveillance réglementaire. Au contraire, elle modernise l’arsenal des outils de conformité afin que les entreprises réglementées puissent prouver qu’elles respectent leurs obligations légales (contrôles de sanctions, obligations KYC, séparation des actifs clients, vérifications de capital) sans transférer ni exposer les données sous-jacentes. Les ZKPs peuvent être plus avantageuses pour les utilisateurs et, à long terme, pour la conformité réglementaire, car les preuves sont vérifiables et résistantes à la falsification.

Ce que la connaissance zéro permet réellement

Une preuve à divulgation zéro est une méthode cryptographique qui dit : « Je peux vous prouver que j’ai respecté la règle X, mais je ne vous montrerai pas les informations sensibles habituellement nécessaires pour le prouver. » En finance, « règle X » peut être très concrète : « ce portefeuille a été vérifié par rapport à la liste de sanctions en vigueur » ; « cet utilisateur détient une credential KYC valide d’un émetteur de confiance » ; « cette plateforme détient les actifs clients en proportion 1:1 et ils correspondent aux passifs » ; « cette transaction est inférieure (ou dans) une plage autorisée », etc.

Aujourd’hui, la loi peut nous obliger à rapporter de grands ensembles de données à des régulateurs spécifiques. Nous respectons les lois de protection des données applicables, mais cela augmente aussi le risque de cyberattaques et d’abus. Une approche basée sur ZK prouve le résultat, pas tous les intrants. Si un régulateur doit approfondir, un processus peut être conçu pour une divulgation sélective de données spécifiques requises (clés de visualisation, accès limité dans le temps, journaux d’audit complets, accordés selon une procédure régulière), comme un portail ou une fenêtre réglementaire avec permissions.

Pourquoi cela importe maintenant

Trois tendances convergent.

En UE, les superviseurs rendent les contrôles AML plus granulaires, tandis que le RGPD et d’autres régimes de confidentialité insistent sur la minimisation des données et la limitation de leur usage. Ces approches peuvent être complémentaires plutôt qu’opposées : la conformité devrait offrir la même ou une meilleure assurance avec moins d’exposition routinière des données personnelles. Cet objectif peut être atteint en utilisant des techniques de reporting respectueuses de la vie privée.

Deuxièmement, les cadres d’identité numérique (comme ceux envisagés dans eIDAS 2.0) se rapprochent de la réalité. Ils reposent sur les mêmes éléments que ZK : credentials vérifiables, divulgation sélective et attestations cryptographiques. Cela rend beaucoup plus réaliste l’émission de credentials portables du type « J’ai passé KYC » ou « Je ne suis pas sanctionné » qui peuvent être prouvés, sans être recollectés, sur plusieurs services.

Troisièmement, les superviseurs explorent des technologies améliorant la confidentialité, y compris des modèles de vérification de preuve.

À quoi pourrait ressembler une pile de conformité basée sur la preuve

Nous avons déjà des exemples concrets. La preuve de réserves améliorée par ZK est la plus connue : une plateforme prouve qu’elle détient les actifs nécessaires pour couvrir les passifs clients sans révéler les soldes individuels. C’est une assurance à divulgation zéro.

Vous pouvez faire la même chose pour la vérification des sanctions. Au lieu d’envoyer l’identité complète à chaque fois, un portefeuille présente une preuve qu’il a été vérifié par rapport à la liste la plus récente à un moment précis. Le régulateur, ou un VASP réglementé de l’autre côté, exécute un nœud vérificateur pour confirmer que la preuve est valide et à jour. Il est important de noter que les « nœuds vérificateurs » sont une proposition de politique qui fonctionne comme une infrastructure de supervision permettant aux régulateurs de valider les preuves sans collecter de données en masse.

On peut aussi l’appliquer à la séparation des actifs : un dépositaire prouve que les actifs clients ne sont pas mêlés avec les fonds de la société via une preuve de plage ou de somme, sans publier tout le registre. On peut même intégrer cela dans des contrats intelligents : les transactions ne s’exécutent que si la preuve est validée. C’est ce qu’on appelle la « conformité programmable » — des règles appliquées en temps réel lors de la transaction, plutôt qu’après coup.

Pour les régulateurs, le changement clé est de passer de la collecte de données brutes à la vérification de preuves cryptographiques. Ils obtiennent toujours assurance, auditabilité et traçabilité lorsqu’il existe une base légale pour démasquer. Mais ils n’ont pas besoin de détenir ou traiter par défaut de grandes quantités de données personnelles, ce qui réduit à la fois les risques opérationnels et juridiques.

Répondre aux questions clés

Les régulateurs commencent déjà à adopter des pilotes ZK ciblés, allant de la preuve vérifiable de réserves à la conformité à la Travel Rule, qui valide les attributs des utilisateurs sans exposer l’ensemble des données. À mesure que ces primitives mûrissent, elles s’étendent naturellement aux contrôles d’intégrité du marché, permettant aux entreprises de démontrer qu’elles respectent les limites de concentration et d’exposition via des preuves de plage et de somme, sans révéler leurs positions sous-jacentes.

Il est crucial de souligner que ZK n’est pas synonyme d’opacité ; des systèmes bien conçus utilisent la divulgation sélective via des clés de visualisation ou multi-parties. Cela garantit que l’accès des forces de l’ordre est limité, prouvable et soumis à une procédure régulière plutôt que d’être universel et silencieux.

Ce que les régulateurs pourraient exiger

Pour fonctionner à l’échelle internationale, nous avons besoin de normes : types de preuves standard (par exemple, « pas sur la liste de sanctions X à la date Y »), formats de credentials standard et logique de vérification standard pouvant être inspectés. C’est ainsi que chaque plateforme, portefeuille ou banque évite de créer sa propre version et de compliquer inutilement la supervision.

Concrètement, les régulateurs pourraient bénéficier de six éléments :

1. Résultats plutôt que données (dites-moi ce que vous avez prouvé, pas tout ce que vous détenez) ;
2. Preuves à information minimale (ne prouver que ce qui est nécessaire pour cette obligation) ;
3. Vérifications programmables (appliquées lors de la transaction si pertinent) ;
4. Mécanismes solides de disponibilité et de sortie des données (les utilisateurs peuvent toujours confirmer leurs soldes et retirer) ;
5. Logique vérifiable de vérification (inspections, vecteurs de test, journaux d’audit) ;
6. Pas de portes dérobées généralisées (divulgation uniquement dans le cadre de processus légaux, limités et enregistrés).

Binance est une plateforme mondiale qui utilise déjà ZKPs pour démontrer ses réserves. Notre système de preuve de réserves (POR) utilise un arbre de Merkle — une structure cryptographique qui condense de nombreux enregistrements de comptes en une seule « empreinte » — avec des preuves à divulgation zéro pour démontrer que les actifs des clients sont entièrement garantis sans révéler les soldes individuels. À chaque mise à jour du POR, les utilisateurs peuvent confirmer que leur solde est inclus dans l’arbre, tandis que les ZKPs garantissent que les totaux globaux sont corrects et qu’aucun solde négatif ou faux n’est inclus. Le résultat est une vérification indépendante, respectueuse de la vie privée, des réserves qui construit la confiance sans compromettre les données personnelles.

Mais cela dépasse une seule entreprise. Si nous faisons bien, nous pouvons rendre la conformité financière plus précise, plus respectueuse des lois sur la vie privée, et plus facile à superviser.

Cela nécessitera une collaboration. Les régulateurs devront élaborer des normes de preuve qu’ils acceptent ; l’industrie devra s’aligner sur ces normes et les intégrer, et les organismes de normalisation veilleront à ce que ces normes soient interopérables à l’échelle mondiale.

À quoi ressemble la réussite

La réussite, c’est lorsqu’un utilisateur peut prouver sa légitimité sans en dire trop ; qu’une banque, un VASP ou une plateforme peut respecter ses obligations AML/Travel Rule avec moins de divulgation de données ; qu’un régulateur peut exécuter un nœud vérificateur et obtenir une assurance en temps réel ; et que les acteurs malveillants peuvent être démasqués dans des conditions claires, limitées et légales.

En résumé, une assurance avec moins de divulgation. Alors que les risques cybernétiques augmentent, que les lois sur la vie privée évoluent, et que la finance numérique transfrontalière se développe, passer de la collecte routinière de données en masse à des preuves vérifiables constitue une amélioration pragmatique des pratiques de supervision.