ZK-KYC : vérifier l'identité sans rien révéler

Il existe une contradiction au cœur du KYC moderne. La loi sur la protection des données ordonne de ne collecter que ce qui est nécessaire et de supprimer les données lorsqu'elles ne sont plus utiles. La réglementation de conformité exige de collecter des données personnelles étendues et de les conserver pendant cinq à dix ans. Ces deux obligations sont réelles. La plupart des équipes de conformité résolvent cette tension en ignorant l'une d'elles — et c'est généralement le principe de minimisation des données qui perd.

Les preuves à divulgation nulle de connaissance (ZK proofs) ne font pas disparaître ce compromis, mais en changent la géométrie. Une preuve ZK permet à une partie de convaincre une autre qu'une affirmation est vraie sans révéler l'information sous-jacente qui la rend vraie. Appliqué à la vérification d'identité, cela signifie : "Cette personne a plus de 18 ans, ne figure pas sur une liste de sanctions et détient un document d'identité européen valide" — prouvé cryptographiquement, sans transmettre la date de naissance, le nom ou le numéro de document.

Ce n'est pas une promesse théorique. C'est une technologie en production déployée par de grandes institutions financières et des protocoles crypto en ce moment même, et le cadre réglementaire européen de 2026-2027 évolue activement dans cette direction.

La contradiction RGPD–KYC, rendue concrète

L'article 5 du RGPD dispose que les données personnelles doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées" — le principe de minimisation des données. L'article 25 impose la "protection des données dès la conception et par défaut."

Le KYC traditionnel fait exactement l'inverse. Un processus d'intégration standard collecte :

• Nom légal complet
• Date de naissance
• Adresse de résidence
• Numéro et date d'expiration du document
• Une biométrie faciale complète (selfie ou vidéo)
• Justificatif de domicile (facture, relevé bancaire)

Toutes ces données sont stockées, généralement pendant cinq à dix ans en vertu des obligations de conservation des enregistrements de la 6AMLD. Ces données résident dans des bases de données qui constituent une cible de choix pour les attaquants. Chaque violation majeure chez un fournisseur KYC — y compris l'incident Mercor qui a exposé des données biométriques — suit le même schéma : un référentiel centralisé de données d'identité sensibles, compromis à grande échelle.

Les autorités de contrôle de la protection des données l'ont remarqué. Les autorités allemande, française et néerlandaise ont toutes publié des orientations au cours des 18 derniers mois indiquant que la collecte et le stockage de données biométriques brutes à des fins KYC requièrent une justification explicite au titre de l'article 9, et que des mesures techniques alternatives doivent être évaluées lorsqu'elles atteignent le même résultat de conformité avec une exposition moindre des données.

Le ZK-KYC est l'une de ces mesures techniques alternatives.

Comment les preuves ZK fonctionnent pour la vérification d'identité

La mécanique cryptographique est non triviale, mais le modèle pratique est simple.

Dans un système ZK-KYC, la vérification d'identité a toujours lieu — un utilisateur prouve toujours qui il est auprès d'un émetteur de confiance (une autorité gouvernementale, un fournisseur d'identité agréé ou le Portefeuille EUDI). La différence réside dans ce qui se passe ensuite.

Au lieu que la partie dépendante (votre banque, votre exchange crypto) reçoive les données brutes, elle reçoit une accréditation vérifiable — une attestation signée cryptographiquement — accompagnée d'une preuve ZK démontrant que l'accréditation satisfait des conditions spécifiques sans révéler son contenu.

Le flux se présente comme suit :

Étape	KYC Traditionnel	ZK-KYC
L'utilisateur vérifie son identité	Auprès du fournisseur KYC	Auprès de l'émetteur de confiance (ex. Portefeuille EUDI)
Ce que reçoit la partie dépendante	Nom, DDN, copie du document, selfie	Preuve cryptographique : "Utilisateur +18, non sanctionné, résident UE"
Ce qui est stocké	Jeu complet de données personnelles	Hash de la preuve ; aucune DCP brute
Coût de re-vérification	Vérification documentaire complète par plateforme	Zéro : accréditation réutilisable entre plateformes
Exposition en cas de violation	Toutes les DCP en risque	Aucune DCP à voler

La réutilisabilité constitue l'argument économique. Dans le KYC traditionnel, un utilisateur vérifie son identité séparément auprès de chaque institution financière, de chaque exchange, de chaque plateforme réglementée. Avec le ZK-KYC et une accréditation portable (comme le Portefeuille EUDI), la vérification s'effectue une seule fois et l'accréditation résultante est réutilisée dans tout l'écosystème via des preuves ZK spécifiques à chaque plateforme.

La connexion eIDAS 2.0

Le Portefeuille EUDI, que les États membres de l'UE doivent mettre à disposition des citoyens avant décembre 2026, est architecturalement conçu pour la divulgation sélective. Les citoyens y stockent des accréditations — carte d'identité nationale, permis de conduire, diplômes — et choisissent précisément quels attributs partager avec quelle partie dépendante.

La norme technique qui sous-tend cela est celle des Accréditations Vérifiables W3C combinées à des mécanismes de divulgation sélective (formats SD-JWT et mdoc). Bien qu'elles ne soient pas strictement des preuves ZK au sens cryptographique académique, elles incarnent le même principe : l'utilisateur prouve qu'il détient une accréditation valide et ne divulgue que les attributs spécifiques requis.

Pour les besoins du KYC sous eIDAS 2.0, une partie dépendante peut demander :

• Confirmation d'âge (plus de 18, plus de 21 ans) sans date de naissance
• Nationalité sans numéro de passeport
• Confirmation d'adresse sans l'adresse complète

Nous avons analysé en détail les implications du déploiement du Portefeuille EUDI pour les processus KYC dans notre guide de conformité eIDAS 2.0. Le cadre ZK-KYC ajoute une couche : la divulgation sélective est le mécanisme de confidentialité ; les preuves ZK sont le substrat cryptographique qui le rend vérifiable sans que la partie dépendante doive faire confiance aveuglément au fournisseur du portefeuille.

MiCA et le problème de confidentialité dans le secteur crypto

MiCA exige un KYC complet pour tous les prestataires de services sur crypto-actifs de l'UE, sans exonérations de minimis pour les petites transactions, et une mise en œuvre obligatoire de la Travel Rule avant le 1er juillet 2026. L'état du KYC dans le secteur crypto en 2026 cartographie ce que cela signifie concrètement.

La tension dans le contexte crypto est aiguë. De nombreux protocoles DeFi et utilisateurs de crypto s'opposent à la vérification d'identité pour des raisons philosophiques, mais plus pragmatiquement, le risque d'un référentiel de données centralisé est sévère : les exchanges et protocoles DeFi sont des cibles de haute valeur pour des attaquants sophistiqués.

Les déploiements de ZK-KYC dans le secteur crypto — Polygon ID, zkLogin (Fondation Sui) et plusieurs exchanges agréés MiCA expérimentant l'intégration basée sur ZK — tentent de résoudre cette contradiction. L'utilisateur peut prouver qu'il ne figure pas sur une liste de sanctions et qu'il détient un document d'identité gouvernemental valide sans que l'exchange conserve les données de son passeport.

Les régulateurs n'ont pas encore émis de directive définitive sur la question de savoir si le ZK-KYC satisfait les exigences de conservation des enregistrements de la 6AMLD et de l'AMLR dans tous les cas. Le paquet de RTS DDC de l'AMLA — que nous avons examiné en détail dans ce que les normes DDC de l'AMLA exigent des systèmes d'identité — ouvre la voie aux "technologies avancées" mais ne nomme pas les preuves ZK spécifiquement.

Trois modèles de déploiement réels

Le marché a convergé vers trois architectures pratiques pour le ZK-KYC.

Accréditations ZK ancrées à l'émetteur. Un fournisseur KYC agréé effectue la vérification complète des documents et biométriques une seule fois. Il émet une accréditation signée attestant du résultat. L'utilisateur conserve cette accréditation dans un portefeuille. Les parties dépendantes vérifient par rapport à l'accréditation sans recontacter le fournisseur KYC — elles ne vérifient que la signature cryptographique. Cela résout le coût de re-vérification mais maintient un émetteur de confiance dans la chaîne.

Accréditations eIDAS émises par le gouvernement avec dérivation ZK. L'accréditation du Portefeuille EUDI devient la racine de confiance. Des preuves ZK en sont dérivées pour prouver des attributs spécifiques. Aucun fournisseur KYC n'est nécessaire pour l'étape d'intégration — l'identité numérique émise par le gouvernement EST la vérification. C'est la direction à long terme pour l'UE.

Protocoles d'identité ZK on-chain. Des protocoles comme Polygon ID et iden3 émettent des accréditations on-chain avec des preuves ZK intégrées dans la logique de vérification de la blockchain. Les contrats intelligents peuvent vérifier les déclarations d'identité sans accéder aux données personnelles. C'est l'approche native DeFi, bien qu'elle soulève des questions réglementaires supplémentaires sur la définition de l'"entité assujettie" sous l'AMLR.

Ce que cela change pour les équipes de conformité

Le ZK-KYC n'élimine pas les obligations de conformité. Il change l'endroit où ces obligations s'appliquent.

La charge se déplace du stockage et contrôle d'accès (aujourd'hui : gestion d'immenses jeux de données personnelles, réponse aux demandes d'accès des personnes concernées, maintenance des systèmes de conservation des enregistrements, protection contre les violations) vers la gouvernance des accréditations (demain : gestion des émetteurs de confiance, des types d'accréditations satisfaisant les exigences réglementaires, et des journaux de preuves pour l'inspection réglementaire).

La complexité opérationnelle se déplace vers la couche d'orchestration de vérification — s'assurer que les bons types d'accréditations sont acceptés, que les vérifications de révocation s'exécutent en temps réel et que les pistes d'audit restent cohérentes dans le système distribué.

C'est précisément là qu'une architecture KYC agentique apporte de la valeur : les agents IA gérant les décisions de vérification peuvent être formés pour évaluer les types d'accréditations, vérifier l'état de révocation et maintenir des journaux de preuves sans qu'aucun humain ne touche à des données personnelles brutes.

Le risque de fraude dont personne ne parle

Le ZK-KYC a une vulnérabilité significative que le secteur n'a pas pleinement abordée : le vol d'accréditations chez l'émetteur.

Si l'émetteur de confiance est compromis — si les jetons signés pour un ensemble d'identités réelles sont volés — les attaquants détiennent des jetons cryptographiques valides qui produisent des preuves ZK valides. Détecter cela nécessite une infrastructure de révocation fonctionnant plus vite que les attaquants ne peuvent déployer les accréditations volées, ou des signaux comportementaux et d'appareil supplémentaires qui ne dépendent pas de l'accréditation elle-même.

Ce n'est pas un argument contre le ZK-KYC. C'est un argument pour le combiner avec l'intelligence d'identité prédictive et continue qui détecte les anomalies comportementales même lorsque l'accréditation est correcte.

Ce qu'il faut surveiller au second semestre 2026

• Les premières orientations prudentielles de l'AMLA sur le ZK-KYC, attendues au troisième trimestre 2026, clarifieront si les journaux de preuves cryptographiques satisfont les exigences de conservation de l'article 20 de l'AMLR.
• Les déploiements du Portefeuille EUDI dans les États membres de l'UE à partir du troisième trimestre 2026 produiront les premières données réelles à grande échelle sur l'adoption de la divulgation sélective.
• La révision des orientations du GAFI sur les actifs virtuels devrait faire référence aux méthodes de vérification préservant la confidentialité.
• Les obligations de l'article 10 du Règlement IA de l'UE entrant en vigueur en août 2026 imposeront la documentation des systèmes de vérification basés sur l'IA — y compris ceux basés sur ZK.

---

Questions fréquentes

Le ZK-KYC satisfait-il pleinement les exigences de conservation des enregistrements AML de l'UE ? Pas encore de manière définitive. L'article 20 de l'AMLR exige des registres des mesures prises pour vérifier l'identité. La question de savoir si un journal de preuves cryptographiques satisfait cette exigence sans DCP stockées reste ouverte. Les orientations de l'AMLA attendues au troisième trimestre 2026 devraient clarifier ce point.

Le ZK-KYC peut-il être utilisé pour toutes les obligations de conformité MiCA ? Pour la vigilance standard à l'égard de la clientèle, oui en principe — si l'accréditation ZK atteste des attributs requis. Pour la vigilance renforcée (EDD) déclenchée par des facteurs à haut risque, une collecte documentaire supplémentaire peut rester nécessaire.

Comment le ZK-KYC interagit-il avec la Travel Rule ? La Travel Rule exige que les données de l'initiateur et du bénéficiaire accompagnent les transferts. Le ZK-KYC peut réduire les données stockées par le PSAN initiateur, mais la Travel Rule crée une obligation de divulgation entre pairs que les preuves ZK seules ne satisfont pas. Les architectures hybrides — ZK pour l'intégration, transfert de DCP chiffrées pour la Travel Rule — constituent la solution opérationnelle.

Que se passe-t-il si une accréditation ZK est volée ou falsifiée ? Les accréditations émises par un émetteur de confiance portent une signature cryptographique. Falsifier une accréditation nécessite de compromettre la clé de l'émetteur — computationnellement infaisable avec la cryptographie actuelle. Le vol d'une accréditation légitimement émise est le vrai risque. Les listes de révocation permettent d'invalider les accréditations compromises.

Le ZK-KYC est-il disponible pour un déploiement entreprise aujourd'hui ? Plusieurs systèmes en production existent : Polygon ID, portefeuilles pilotes eIDAS 2.0 (Bundeswallet allemand, AppID français) et intégrations entreprises construites sur les Accréditations Vérifiables W3C avec SD-JWT. L'outillage entreprise arrive à maturité rapidement ; la clarté réglementaire accuse un retard d'environ 12 à 18 mois.

Joinble prend-il en charge la vérification d'identité basée sur ZK ? La plateforme d'Agents IA de Joinble est conçue pour orchestrer tout signal d'identité, y compris les vérifications d'accréditations vérifiables et la validation de preuves ZK. Au fur et à mesure du déploiement du Portefeuille EUDI et de la clarification des orientations de l'AMLA sur la conservation des enregistrements, la couche agent gère la logique d'intégration — acheminant la bonne méthode de vérification vers chaque cas sans reconstruire l'infrastructure sous-jacente.