Les règles KYC contradictoires
Les règles Know Your Customer (KYC) créent une vraie tension pour les entreprises fintech. Les régulateurs veulent des vérifications d'identité approfondies. Ils exigent que les entreprises collectent et vérifient des documents personnels. Mais les lois sur la protection des données poussent dans l'autre sens. Elles exigent que les entreprises minimisent ces données une fois collectées.
Une banque qui ouvre un nouveau compte collecte de nombreux documents. Ceux-ci comprennent des cartes d'identité nationales, des passeports et des permis de conduire. Elle collecte aussi des justificatifs de domicile et des documents financiers. Ces fichiers contiennent des données personnelles denses. Le RGPD, les règles AML et les superviseurs bancaires exigent tous un traitement strict.
Lorsque ces données sont transférées vers des systèmes de lutte contre la fraude ou des analyses, des règles supplémentaires s'appliquent. Les règles de minimisation des données du RGPD entrent en vigueur. Les données personnelles doivent être masquées ou dépersonnalisées avant toute utilisation secondaire.
Le problème du retard de 2 jours
Une banque numérique traitait 5 000 demandes KYC quotidiennes dans 15 pays de l'UE. Leur étape de scan PII causait un problème sérieux. Le taux de faux positifs était trop élevé. Les files d'attente de révision ont grandi jusqu'à atteindre un retard de 2 jours.
La cause principale était claire. Leur outil basé sur ML marquait environ 8% du texte non-PII comme données personnelles. Chaque fichier avait de nombreuses pages. Le volume quotidien de faux positifs était trop important pour que l'équipe le traite en un jour. Ils accumulaient continuellement du retard.
Les faux positifs se répartissaient en trois groupes :
- Noms d'entreprises signalés comme noms de personnes (le modèle confondait les noms propres)
- Codes de référence signalés comme numéros d'identité (aucune vérification de somme de contrôle utilisée)
- Prénoms courants comme « Chase » dans les noms de banques signalés comme PII de nom de personne
Chaque faux positif nécessitait une révision humaine. À 8% sur 5 000 fichiers quotidiens, cela produisait des milliers de tâches quotidiennes. Aucune ne pouvait être automatisée.
Ce que montre la recherche ACL
La recherche ACL 2024 a testé des modèles NLP multilingues pour la détection PII. Le résultat était frappant. Seulement 5% des modèles NLP multilingues atteignent plus de 85% de score F1 pour le PII non anglais dans toutes les 24 langues de l'UE.
Le score F1 combine précision et rappel. Une faible précision signifie beaucoup de faux positifs. Un faible rappel signifie beaucoup d'éléments manqués. Les deux résultats obtiennent de mauvaises notes. Le taux d'échec de 95% pour atteindre 85% F1 montre à quel point la détection PII multilingue est difficile en pratique.
En revanche, XLM-RoBERTa atteint un F1 multilingue de 91,4% pour les tâches PII. Ce chiffre provient du benchmarking HuggingFace 2024. L'écart entre 91,4% et le modèle médian explique pourquoi les outils disponibles dans le commerce échouent dans le KYC multilingue.
Conception hybride pour le KYC à haut volume
Le problème des faux positifs est résolvable. Trois choix de conception le corrigent.
Regex avec vérification de somme de contrôle : Les numéros d'identité nationaux ont des règles fixes. Le Steuer-ID allemand, le BSN néerlandais et le PESEL polonais utilisent chacun des mathématiques de somme de contrôle. Si un numéro échoue à la somme de contrôle, ce n'est pas un identifiant national. Format plus somme de contrôle produit presque zéro faux positifs pour ces identifiants.
NLP contextuel pour les noms : Les noms de personnes dans les fichiers KYC apparaissent à des endroits connus. Ceux-ci comprennent « Nom : », « Prénom : » et des champs de formulaire définis. Exiger un mot de contexte avant de signaler un nom réduit les faux positifs. Cela empêche les noms d'entreprises de déclencher des alertes de noms de personnes.
Réglage du seuil par type de fichier : Les fichiers KYC diffèrent des e-mails de support ou des notes médicales. Chaque type a un mélange PII différent. Définir des seuils par type de fichier permet aux équipes de s'adapter à leurs besoins. Le KYC à haut volume obtient une plus haute précision. La dépersonnalisation médicale obtient un plus haut rappel.
Le retard de 2 jours n'est pas un coût inévitable du scan PII. C'est le coût de l'utilisation d'outils génériques sur un workflow spécifique. La solution est la configuration, pas une équipe plus importante.
Notre guide de conformité RGPD couvre les règles de minimisation des données. Notre aperçu de la conformité sécurité explique les contrôles techniques qui soutiennent les workflows KYC conformes.