Sources de données transactionnelles : pivot pour l'eIDV

Quand vous lancez un projet de vérification d'identité électronique (eIDV) à grande échelle, vous découvrez vite que la biométrie ne suffit plus. Les deepfakes face-swap ont franchi un seuil critique en 2025, et les pièces d'identité synthétiques générées par IA passent désormais les contrôles documentaires les moins durcis. La vérification d'identité à distance doit s'appuyer sur quelque chose qu'aucune intelligence artificielle ne sait fabriquer en volume : la trace réelle qu'un individu laisse dans le monde lorsqu'il consomme, paye ses impôts, signe un contrat télécom ou se déclare auprès d'une administration. Ce sont les sources de données transactionnelles. Nous les mobilisons depuis 45 ans, et elles changent aujourd'hui la nature même de l'eIDV moderne.

L'indispensable rôle de la donnée transactionnelle

Pendant quinze ans, le marché de la vérification d'identité s'est construit autour de deux piliers : la vérification documentaire (capture de pièce, OCR, contrôle des éléments de sécurité) et la vérification biométrique (face match, liveness check). Les deux fonctionnaient bien tant que la falsification restait coûteuse pour l'attaquant. Cette équation a basculé.

Le Sumsub Identity Fraud Report 2025 documente une explosion sans précédent : +700 % d'escroqueries vidéo deepfake sur l'année 2024-2025, 8 millions de deepfakes en ligne fin 2025 contre 500 000 en 2023. iProov mesure +2 665 % d'attaques par caméra virtuelle sur les flux d'onboarding biométrique. Pindrop annonce +1 300 % de fraude deepfake sur les centres de contact bancaires. Sur le terrain, 71 % des consommateurs reconnaissent ne pas savoir détecter un deepfake.

Face à cette vague, la donnée transactionnelle présente une propriété unique. Elle est quasi impossible à falsifier en volume. Un attaquant peut générer un visage de synthèse en quelques secondes. Il peut imprimer un faux passeport convaincant pour quelques centaines d'euros. Il ne peut pas, en revanche, fabriquer 18 mois d'historique d'achats Carrefour, 3 ans d'abonnement Orange à la même adresse et un avis d'imposition émis par la DGFiP qui croise les données de l'employeur. Il faudrait une fraude coordonnée à l'échelle d'un État pour reproduire ces signaux.

Tout est falsifiable, sauf la vie réelle et les actes d'achats de chacun.

C'est ce constat qui fonde une approche eIDV par données transactionnelles, complémentaire à la biométrie et à la vérification documentaire — et compatible avec le RGPD (les lois sur les données personnelles), à condition de bien encadrer les finalités et la minimisation.

Les 4 sources convergentes : achats, gouvernementales, télécoms, fiscales

Notre métier ne consiste pas à collecter ni à héberger ces données. Nous vérifions l'identité à travers les données issues de transactions d'achats vérifiées, adossées à des sources de data gouvernementales, télécoms, médias — et il s'agit d'identifier, parmi 4 000 sources mondiales, lesquelles couvrent un pays donné, à quel niveau de fraîcheur et avec quel taux de couverture. Ces sources se regroupent en quatre familles complémentaires.

Les données d'achat constituent le maillage le plus dense de la vie d'un individu. Chaque transaction laisse une trace : carte bancaire, ticket nominatif, livraison à une adresse, programme de fidélité, abonnement récurrent. Pour la France seule, la FEVAD a recensé 175,3 milliards d'euros et 2,6 milliards de transactions e-commerce en 2024, avec une projection à 200 milliards en 2026. À l'échelle mondiale, les bases de données d'achat couvrent l'essentiel de la population active dans les pays développés.

Pour l'eIDV, la donnée d'achat répond à une question simple : « cet individu vit-il vraiment à cette adresse, sous ce nom, depuis cette date ? ». La récurrence d'achats sur 12-24 mois, la cohérence géographique des livraisons, l'évolution naturelle des paniers : tout cela trace une signature comportementale qu'un attaquant ne peut pas reproduire ex nihilo.

Les bases de données gouvernementales constituent le socle d'autorité. Elles sont, par construction, le référentiel ultime pour vérifier qu'un état civil correspond à une personne réelle. Selon les pays, l'accès se fait via API qualifiées (FranceConnect+, eID Belgique, BankID nordique) ou via des partenariats encadrés avec les administrations émettrices.

Les sources gouvernementales utiles à l'eIDV incluent : registres d'état civil, registres du commerce, listes électorales (selon réglementation locale), registres de propriété immobilière, immatriculations de véhicules, déclarations de résidence. Leur fiabilité est maximale, leur fraîcheur variable (de l'instantané à la mise à jour annuelle). Leur principale limite : la couverture mondiale hétérogène. Tous les pays n'offrent pas un accès API moderne à ces référentiels.

Les données télécoms constituent un référentiel temps réel quasiment unique : un numéro de mobile actif, à un instant donné, sur un opérateur identifié. Les opérateurs disposent de plusieurs informations vérifiables sans révéler de contenu : ancienneté du contrat (signal anti-fraude majeur, un numéro créé il y a 24 heures n'est pas équivalent à un numéro détenu depuis 6 ans), type de contrat (post-paid vs. pré-payé, ce dernier étant statistiquement plus utilisé en fraude), porte-clés SIM swap (un numéro changé de carte SIM la veille de l'onboarding déclenche une alerte forte).

À cela s'ajoutent les données de mobilité géographique agrégées : la vraisemblance qu'un numéro français demande l'ouverture d'un compte depuis une IP qui correspond à sa zone d'usage habituelle. La cohérence triangulaire mobile-IP-adresse postale devient un signal central de l'eIDV moderne.

Les données fiscales et financières ferment la boucle. Elles ne sont pas accessibles directement (et ne doivent pas l'être en clair, RGPD oblige), mais des mécanismes d'attestation en mode zero-knowledge permettent de vérifier qu'une personne est bien rattachée à un foyer fiscal, à un revenu déclaré dans une fourchette, à un IBAN actif détenu depuis une certaine ancienneté. La DGFiP française, l'HMRC britannique, l'IRS américain ou le Bundeszentralamt für Steuern allemand offrent des passerelles encadrées.

Les données financières incluent aussi les bureaux de crédit (Experian, TransUnion, Equifax, BIK, Schufa selon les pays), qui maintiennent des référentiels couvrant la quasi-totalité de la population adulte des pays bancarisés. Un client majeur sans aucun historique de crédit est lui-même un signal : il existe, mais son profil mérite une vigilance renforcée.

::: callout-info Les 4 sources en bref

  • Achats : densité maximale, coût d'accès modéré, idéal pour la cohérence comportementale 12-24 mois
  • Gouvernementales : autorité maximale, couverture hétérogène, idéales pour l'identification initiale
  • Télécoms : temps réel, signal anti-SIM-swap, idéales pour la transaction au moment T
  • Fiscales/financières : profondeur économique, accessibles via attestations qualifiées, idéales pour l'EDD

:::

Comparatif de fiabilité : éléments clés pour votre choix

Aucune source n'est suffisante seule. La force d'un dispositif eIDV moderne vient de la convergence de plusieurs sources. Voici comment les comparer en pratique.

CritèreAchatsGouvernementalesTélécomsFiscales/Financières
FraîcheurQuotidienne à hebdoAnnuelle à temps réelTemps réelMensuelle à annuelle
Couverture FR> 95 % adultes> 99 %> 99 %> 90 %
Couverture mondeHétérogèneTrès hétérogèneTrès largePays bancarisés uniquement
Coût d'accèsModéréVariable (souvent gratuit via API publique)Modéré à élevéÉlevé
Anti-deepfakeExcellentBonExcellentExcellent
Risque RGPDModéréFaible (données publiques)ModéréÉlevé (justification stricte)

La règle pratique : trois sources convergentes valent mieux qu'une source profonde. Un dispositif eIDV robuste recoupe un signal d'achat, un signal télécom et un signal gouvernemental. La probabilité qu'un attaquant ait pu falsifier les trois en cohérence est statistiquement négligeable.

Couverture mondiale : 197 pays, 1,5 milliard d'individus

Notre infrastructure de veille s'appuie sur 4 000 sources mondiales et 197 pays couverts, avec 1,5 milliard d'individus recensés et 250 millions de professionnels identifiés. Ce maillage permet de répondre aux dispositifs KYC des entreprises internationales sans dépendre d'un fournisseur monolithique.

La couverture varie par zone :

  • Europe de l'Ouest : couverture supérieure à 95 % sur les 4 sources, qualité homogène. La quasi-totalité des projets eIDV destinés aux particuliers (B2C) peut être servie en mode multi-sources.
  • Amérique du Nord : couverture excellente sur achats, financières et télécoms, légèrement plus contrainte sur gouvernementales (fragmentation État par État aux États-Unis).
  • Asie-Pacifique : forte couverture en Corée du Sud, Japon, Singapour, Australie ; couverture en construction sur l'Inde (Aadhaar atteint 1,3 milliard d'inscrits, mais l'accès tiers reste régulé) et la Chine (cadre PIPL contraignant).
  • Amérique latine : couverture en croissance rapide, dominée par les bureaux de crédit historiques (Serasa, Equifax LATAM) et les opérateurs télécoms.
  • Afrique : couverture en construction. Les données mobiles money (M-Pesa, Orange Money) émergent comme source transactionnelle principale, complémentaire des registres gouvernementaux quand ils existent en API.

::: callout-info En bref La couverture mondiale de l'eIDV par données transactionnelles est aujourd'hui suffisante pour servir 95 % des cas d'usage B2C (particuliers) et B2B (entreprises) des grandes organisations internationales. Les zones à couverture limitée doivent être traitées en fallback documentaire ou biométrique, sans sacrifier le niveau global de garantie. :::

Complémentarité avec la biométrie et la vérification documentaire

Un piège fréquent dans les projets eIDV consiste à opposer la donnée transactionnelle à la biométrie. Les deux ne s'opposent pas, elles se complètent.

La biométrie répond à la question « la personne en face est-elle bien la personne sur la pièce d'identité ? ». Elle est puissante en première barrière, à condition que la pièce d'identité soit elle-même authentique et que la liveness check résiste aux face-swap (norme ISO 30107-3, PAD passive iBeta Niveau 2 minimum).

La donnée transactionnelle répond à la question « la personne sur la pièce existe-t-elle vraiment dans la vie réelle, à cette adresse, sous ce nom ? ». Elle est puissante en seconde barrière. Elle détecte les identités synthétiques que la biométrie laisse passer (un visage humain réel, mais inventé pour la circonstance, sans aucune trace de vie auparavant).

L'architecture recommandée est en couches :

1. Couche 1 : eIDV par données transactionnelles sur 80-90 % des dossiers à risque standard. Décision en quelques centaines de millisecondes, sans interaction utilisateur. 2. Couche 2 : Biométrie + vérification documentaire sur les 10-20 % de dossiers en doute, ou imposés par le niveau de garantie eIDAS élevé. 3. Couche 3 : Surveillance continue post-onboarding par signaux transactionnels (KYC dynamique).

Cette architecture réduit la friction utilisateur sur la majorité du flux tout en préservant un haut niveau de sécurité sur la fraction sensible. Le ROI mesuré chez nos clients banque en ligne atteint 220:1, avec une réduction d'abandon de 25 % à 5 %.

Cas d'usage par secteur

Les services financiers régulés combinent obligation LCB-FT (CDD/EDD), pression concurrentielle sur le délai d'onboarding et exposition à la fraude synthétique. La donnée transactionnelle sert à la fois à valider l'identité initiale et à alimenter le risk scoring (PEP, sanctions, comportement). Sur 60 000 onboardings annuels modélisés, le passage à un eIDV par data transactionnelle a porté le ROI à 220:1.

Le règlement MiCA et le Travel Rule (TFR) imposent un KYC complet aux Crypto Asset Service Providers, avec contrôle d'identité et de bénéficiaire effectif au-delà de 1 000 euros. La donnée transactionnelle est ici critique car la fraude d'identité synthétique vise massivement le secteur (Sumsub +217 % de deepfakes crypto en 2024).

Les marketplaces immobilières et les e-commerçants premium hors secteur régulé ne sont pas tenus au KYC complet, mais subissent une fraude croissante (faux acheteurs, ventes refusées en SEPA). Une couche eIDV par data transactionnelle réduit l'abandon client et améliore l'unitaire commande.

L'assurance utilise la donnée transactionnelle pour valider l'antécédent (cohérence patrimoniale, profil ALD). L'iGaming, contraint par l'ANJ sur la vérification d'âge et l'anti-blanchiment, combine eIDV par data + monitoring comportemental.

Ce qu'il faut retenir

::: callout-info À retenir

  • La donnée transactionnelle ne remplace pas la biométrie : elle la complète sur le risque résiduel des identités synthétiques.
  • Quatre sources convergentes (achats, gouv, télécoms, fiscales) recouvrent 95 % de la population des pays bancarisés.
  • 4 000 sources mondiales, 197 pays couverts, 1,5 milliard d'individus recensés permettent de servir les dispositifs KYC internationaux.
  • Le ROI mesuré atteint 220:1 sur des cas banque en ligne, avec abandon réduit de 25 % à 5 %.

:::

Vous voulez aller plus loin ? Pour comprendre comment nous articulons cette approche avec un dispositif KYC complet, lisez notre comparatif KYC vs eIDV et notre comparatif eIDV /fr/ biométrie /fr/ documentaire. Pour les enjeux face aux deepfakes 2026, voir Deepfakes et identité : comment les détecter en 2026. Sur les piliers réglementaires, consultez la page Réglementation KYC eIDV France et le pilier eIDV : vérification d'identité électronique.

::: cta Vous voulez cadrer un projet eIDV par sources transactionnelles avec nos experts ? Discutons de votre cas d'usage :::