Conformité à la Travel Rule et protocoles d'échange de données
01 Résumé Exécutif
La recommandation 16 du Groupe d'action financière (GAFI), communément appelée 'Travel Rule', exige que les prestataires de services sur crypto-actifs (CASP) s'échangent les informations sur l'initiateur et le bénéficiaire lors des transferts. Cette note évalue les cadres techniques, les protocoles de transmission de données et les normes de confidentialité requis pour assurer une conformité fluide tout en protégeant les données personnelles.
Nous comparons les principales normes de messagerie, y compris IVMS101, et analysons les architectures pour portefeuilles auto-hébergés. Nous concluons que résoudre le problème du 'lever de soleil' (sunrise issue) et assurer la confidentialité cryptographique des données sont les étapes critiques pour la mise en œuvre globale.
02 Énoncé du Problème
Les réseaux de chaînes de blocs publiques sont conçus comme des systèmes pseudonymes où les comptes ne sont identifiés que par des adresses publiques. Ces réseaux manquent de structures natives pour associer des données d'identité (noms, adresses, pièces d'identité) aux transactions, ce qui empêche la conformité avec les règles sur les transferts de fonds.
Sans canaux sécurisés et standardisés pour la transmission de données entre CASP, le partage d'informations d'identification personnelle (PII) expose les utilisateurs à des risques de vol de données, potentiellement en violation avec le RGPD de l'UE.
03 Contexte Politique
Le GAFI a mis à jour ses normes en 2019 pour appliquer la recommandation 16 aux actifs virtuels et à leurs prestataires (VASP). Dans l'Union européenne, cette règle a été mise en œuvre via le règlement sur les transferts de fonds (TFR) en 2023, qui supprime le seuil traditionnel de 1 000 EUR pour les crypto-actifs.
Sous TFR, les CASP doivent transmettre des données précises sur l'initiateur et le bénéficiaire pour chaque transaction, y compris les transferts vers ou depuis des portefeuilles non hébergés (self-custody). Cela crée des frictions, obligeant les CASP à vérifier la propriété du portefeuille tiers.
04 Analyse & Impact Opérationnel
La mise en œuvre opérationnelle de la Travel Rule exige que les CASP intègrent des solutions logicielles spécialisées reliant les adresses publiques à des identités vérifiées. L'industrie s'est unifiée autour de la norme de données IVMS101, qui fournit un format commun pour l'échange de champs clients.
Cependant, les protocoles d'échange restent fragmentés. Les CASP doivent choisir entre réseaux de messagerie centralisés et protocoles de routage décentralisés. Cette fragmentation nuit à l'interopérabilité, en particulier lors d'échanges entre juridictions ayant des calendriers législatifs décalés.
De plus, interagir avec les portefeuilles auto-hébergés exige des méthodes de vérification alternatives, comme la signature cryptographique d'un message par l'utilisateur ou la réalisation de micro-transactions pour prouver le contrôle de l'adresse, ce qui ralentit l'expérience.
05 Recommandations Politiques
Pour parvenir à une conformité efficace sans compromettre la vie privée des utilisateurs ni la vitesse opérationnelle, nous recommandons les directives suivantes :
Directives de mise en œuvre de la Travel Rule :
- Adopter universellement le standard de données IVMS101 pour assurer la compatibilité structurelle entre tous les logiciels de conformité.
- Utiliser des protocoles de confidentialité zero-knowledge pour valider les attributs d'identité hors ligne sans transmettre les données brutes.
- Participer à des annuaires ouverts de VASP permettant de découvrir en temps réel les terminaux de conformité et de sécuriser les communications.
06 Références & Citations
- GAFI (2019). Orientations pour une approche fondée sur les risques pour les actifs virtuels et les prestataires de services d'actifs virtuels.
- Règlement (UE) 2023/1113 sur les informations accompagnant les transferts de fonds et de certains crypto-actifs (TFR).
- Joint Working Group on Interoperability (2020). Spécification du standard de données IVMS101.