Recherche du Site Officiel de Binance

La plupart des utilisateurs qui s'intéressent au site officiel de Binance ne demandent que « peut-on l'ouvrir ? » et « est-ce le vrai ? ». Très peu approfondissent : le recto-verso de ma pièce d'identité, la photo main-libre et la vidéo de vie que j'ai téléversés, où sont-ils stockés, pendant combien de temps, et seront-ils partagés avec un tiers ? C'est pourtant cette couche qui détermine si l'on peut remettre ses documents à ce site. Le domaine principal du vrai site officiel est binance.com ; ses points d'entrée et canaux de téléchargement sont listés sur le Site Officiel de Binance ; les utilisateurs qui ouvrent un compte et s'apprêtent à passer la KYC peuvent d'abord cliquer sur Inscription gratuite, puis vérifier chaque point de confidentialité ci-dessous pour éviter de confier leur pièce à un clone.

1. Le flux de données du téléversement KYC comporte en réalité quatre segments

Beaucoup imaginent qu'un « téléversement vers Binance » se résume à un POST HTTP. En vérité, dès que vous cliquez sur « Choisir un fichier », l'image de la pièce traverse quatre systèmes distincts.

Segment 1 : du client (navigateur/application) au nœud CDN

Le point d'entrée KYC de Binance est sur le sous-domaine accounts.binance.com, protégé par un CDN Cloudflare Enterprise entièrement managé. Entre le client et le nœud, TLS 1.3 est obligatoire ; TLS 1.0/1.1 sont désactivés ; le certificat utilise ECC P-256. En clair, même sur un Wi-Fi d'hôtel ou de café, l'image reste chiffrée au niveau de la couche transport : un attaquant intermédiaire n'obtient que du texte chiffré.

Pour savoir si vous êtes sur le bon canal, cliquez sur le cadenas et examinez la chaîne de certificats : l'émetteur doit être un certificat OV DigiCert, et le champ O du sujet doit être Binance Holdings Limited. Une erreur typique des faux sites : un certificat DV Let's Encrypt, avec un CN seul et aucune organisation — détectable à l'œil.

Segment 2 : du nœud CDN au stockage objet

Une fois le CDN franchi, l'image n'atterrit pas sur un serveur métier mais dans un stockage objet. Binance indique utiliser principalement AWS S3 (régions ap-northeast-1 à Tokyo et eu-west-1 à Dublin) pour respecter la localisation des données en Asie-Pacifique et en Europe. Chaque image est chiffrée via une enveloppe KMS ; la clé au niveau de l'objet utilise l'UID de l'utilisateur comme sel.

Deux détails méritent attention : d'une part, le bucket est configuré en « interdiction de listing public », une URL sans signature ne donne accès à rien ; d'autre part, chaque accès d'un collaborateur est tracé dans un journal CloudTrail conservé sept ans. Autrement dit, même un employé de Binance qui regarde votre pièce laisse une trace.

Segment 3 : traitement par les prestataires KYC

Binance ne réalise pas l'OCR ni la détection de vie en interne ; il sous-traite à des prestataires KYC agréés, principalement Jumio (OCR et authenticité du document) et FaceTec (détection de vie 3D).

• Les centres de données de Jumio sont à Dallas et à Dublin ; certifiés ISO 27001 et SOC 2 Type II.
• FaceTec ne conserve pas l'image brute, seulement une cartographie 3D du visage générée par un algorithme irréversible ; les requêtes des utilisateurs européens sont traitées sur le nœud AWS de Francfort.

Implication côté vie privée : votre pièce n'est pas vue uniquement par Binance — au moins un tiers la traite également. Les prestataires et Binance sont liés par un Data Processing Agreement ; au sens du GDPR, Jumio est sous-traitant (processor) et Binance est responsable de traitement (controller) — c'est à Binance que vous pouvez opposer la responsabilité du responsable.

Segment 4 : conservation et archivage interne

Après validation de la première revue, l'image originale ne reste pas indéfiniment en stockage chaud. La politique officielle : 5 ans pour un compte normal (conformité à AMLD5 européenne et aux exigences de la MAS de Singapour), destruction 5 ans après clôture, jusqu'à 10 ans pour un compte à haut risque gelé à des fins de coopération judiciaire.

5 ans est un nombre clé. Cela signifie que si vous clôturez votre compte Binance aujourd'hui, l'original de votre pièce d'identité sera légalement conservé au moins jusqu'en 2031. Pour un effacement anticipé, il faut passer par le canal de demande décrit ci-dessous.

2. Les cinq droits offerts par le GDPR et leur mise en œuvre chez Binance

Les entités européennes de Binance (Binance France SAS, Binance Italy S.r.l., etc.) sont assujetties au GDPR. Même hors UE, dès lors que votre compte est rattaché à une entité européenne (adresse dans un des 27 pays), ces cinq droits s'appliquent.

Droit 1 : droit d'accès

Vous pouvez exiger de Binance une copie de l'ensemble de vos données personnelles : pièces téléversées, réponses au questionnaire KYC, IP de connexion, empreintes d'appareils, historique des transactions. Soumission via « Compte → Confidentialité → Data Subject Access Request ». Délai officiel de 30 jours ; en pratique, un lien de téléchargement vers une archive chiffrée arrive sous 10 à 14 jours.

Droit 2 : droit de rectification

Si une information est erronée (adresse, orthographe du nom), vous pouvez exiger sa correction. La plupart des champs sont modifiables directement, mais la correction du numéro de pièce d'identité impose une nouvelle KYC.

Droit 3 : droit à l'effacement (« droit à l'oubli »)

Le droit le plus mal compris. Le GDPR oblige le responsable de traitement à effacer les données lorsque « la finalité est atteinte » ou que « le consentement est retiré », mais les obligations de conservation au titre de la LCB-FT priment. Autrement dit, vous pouvez demander l'effacement, mais les pièces d'identité et l'historique des transactions, nécessaires à la conformité, seront conservés jusqu'à l'expiration du délai légal. Seules les données non obligatoires (préférences marketing, tokens push, cookies, logs de support) peuvent être effacées immédiatement.

À retenir : le droit à l'effacement ≠ disparition instantanée, mais placement en stockage froid jusqu'à la fin du délai légal.

Droit 4 : droit à la portabilité

Vous pouvez demander un export structuré et lisible par machine (JSON ou CSV) à fin de migration vers un autre prestataire. Historique des ordres et flux financiers s'obtiennent par ce canal.

Droit 5 : droit d'opposition

Vous pouvez vous opposer aux traitements automatisés fondés sur « l'intérêt légitime », notamment au profilage du risque. Conséquence pratique : certaines fonctions (carte bancaire, canaux OTC importants) deviennent indisponibles, car le risque n'est plus évalué qu'en revue manuelle.

3. Comment les faux sites volent et revendent vos pièces d'identité

Une fois comprise la bonne chaîne de traitement, observer celle des faux sites révèle l'ampleur du risque.

Où atterrissent les données sur un clone

Structures typiques observées :

• Redirection brute : le front HTML est un clone du vrai site ; le back est un VPS bon marché (Vultr Tokyo, DigitalOcean Singapour) ; l'image tombe sur le disque local, et les archives sont régulièrement remontées vers un canal Telegram.
• Dépôt cloud direct : bucket public AWS S3 ou Alibaba OSS ; image non chiffrée ; nom de fichier égal à l'e-mail saisi ; il suffit du nom du bucket pour tout énumérer.
• Phishing API : le front fait mine d'envoyer à Binance, mais le trafic est redirigé par JS vers api.binance-xxx.top, puis revendu à un revendeur de données clandestin.

Sur le marché noir, un lot KYC complet (CNI recto/verso + main + selfie) se vend 400 à 800 dollars ; ajoutez les relevés bancaires et un justificatif de domicile et cela monte à 2 000 dollars. Confiée à un clone, votre pièce apparaîtra probablement sous une semaine dans le catalogue d'un canal Telegram.

Conséquences en aval d'une usurpation

Usages observés :

• Ouverture de comptes KYC sur d'autres plateformes à des fins de blanchiment.
• Souscription à Revolut, Wise pour exploiter des offres promotionnelles.
• Ouverture de boutiques sur des plateformes de vidéos courtes au nom de la victime.
• Dépôt de fausses plaintes entraînant des convocations.

Même après avoir prouvé son innocence, la régularisation prend 6 à 18 mois.

4. Six indicateurs concrets pour reconnaître le vrai portail KYC de Binance

Voici la check-list à appliquer avant tout téléversement :

1. Domaine de l'URL : strictement accounts.binance.com ; un préfixe www est admis, mais pas login, verify, auth.
2. Organisation du certificat : cliquez sur le cadenas ; le champ O doit être Binance Holdings Limited ou le nom complet de l'entité locale.
3. Origine de la page : l'entrée KYC ne s'atteint que depuis « Compte » après connexion ; toute page KYC ouverte via un e-mail, un SMS ou une publicité doit être fermée.
4. Lien vers la politique de confidentialité : en bas de la page de téléversement, binance.com/fr/privacy doit être présent, avec le nom du responsable de traitement.
5. Retour après téléversement : l'ID de file d'attente Jumio suit le format 3xxx-xxxx-xxxx-xxxx ; les clones affichent un numéro incrémental ou un simple message.
6. En-têtes HTTPS : dans les outils développeur, strict-transport-security doit être présent et max-age ≥ 31536000 ; les clones omettent souvent cet en-tête.

5. Pourquoi le canal via l'application est plus respectueux de la vie privée

Tous les risques du téléversement web sont atténués dans l'application pour trois raisons :

• L'application intègre du certificate pinning ; un certificat d'homme du milieu n'est pas reconnu ; même sur un Wi-Fi public, pas de détournement.
• Les données caméra sont transmises directement au SDK FaceTec dans l'application ; aucune photo ne passe par la galerie ou le cache système.
• Les autorisations demandées sont minimales ; l'accès photo peut être accordé à usage unique, et certains Android permettent « uniquement pendant l'utilisation ».

Les utilisateurs Android sans l'application peuvent passer par l'Application Officielle Binance pour récupérer l'APK ; les utilisateurs iPhone suivent le Guide d'installation iOS après avoir changé de région App Store. Après installation, effectuez la première KYC sur un Wi-Fi de confiance ou en données mobiles — pas sur un réseau public.

6. Comment soumettre une demande de protection des données (DSAR)

Pour obtenir une copie de toutes vos données stockées par Binance, voici le mode opératoire.

Éléments à préparer

• E-mail du compte
• UID
• Pièce d'identité en cours de validité (pour empêcher une demande usurpée)
• Type de demande (accès / rectification / effacement / portabilité / opposition)

Canaux de soumission

Connexion → Account → Privacy → Data Subject Rights → Submit Request. Les utilisateurs européens peuvent en plus écrire à [email protected] (adresse obligatoire du délégué à la protection des données au titre du GDPR).

Délais de réponse

• Droit d'accès : 10 à 14 jours pour obtenir une archive chiffrée ; le lien reste valide 7 jours.
• Droit à l'effacement : arrêt immédiat du traitement non essentiel ; les données obligatoires passent en « traitement limité » jusqu'à la fin du délai légal.
• Droit à la portabilité : 15 à 21 jours pour obtenir un export JSON/CSV.

Voies de recours en cas de refus

Si la demande est refusée de manière abusive :

• Utilisateurs en France : CNIL
• Utilisateurs en Italie : Garante per la Protezione dei Dati Personali
• Autres utilisateurs UE : autorité nationale compétente
• Utilisateurs en Asie : PDPC à Singapour, PCPD à Hong Kong

Binance traite généralement la demande avant l'intervention du régulateur, car les sanctions GDPR s'élèvent à 4 % du chiffre d'affaires mondial, bien plus que le coût d'une coopération.

7. Quatre gestes à s'appliquer avant le téléversement

En plus du choix du bon site, il est utile de prendre quelques précautions avant d'envoyer une pièce.

• Ajoutez un filigrane visible à l'image : une mention discrète « For Binance KYC 2026-04 » permet de retracer une fuite.
• Ne conservez pas l'original dans votre cloud photo : supprimez l'image après envoi, puis videz « Suppressions récentes ».
• Utilisez un e-mail dédié aux plateformes d'échange : sans mélange avec réseaux sociaux, e-commerce et banque — pour limiter l'impact d'un credential stuffing.
• Activez les notifications de connexion et la liste blanche de retrait : prolongez la protection des données jusqu'à la couche actifs, tout se fait en un clic dans le Centre de sécurité.

FAQ

Q1 : Puis-je refuser que Binance transmette mes données à Jumio ou FaceTec ?

Oui, mais refuser signifie ne pas pouvoir compléter la KYC ; le compte se limitera aux dépôts et retraits d'actifs existants. Binance liste ces prestataires dans sa politique de confidentialité ; cliquer « Accepter » lors de l'inscription vaut autorisation. Retirer spécifiquement l'autorisation accordée à Jumio équivaut à retirer la KYC, ce qui entraîne un déclassement du compte.

Q2 : J'avais clôturé un compte Binance en 2024, ma pièce y est-elle encore ?

Très probablement oui. La politique est de conserver 5 ans à des fins de conformité après clôture ; un compte clôturé en 2024 verra sa pièce conservée jusqu'en 2029. Vous pouvez demander au DPO un calendrier précis de destruction ; il n'y a pas d'accélération possible avant la fin du délai.

Q3 : Les données de Binance France et de binance.com global sont-elles partagées ?

D'un point de vue conformité, non. Binance France est une entité juridique indépendante, enregistrée en France, sous contrôle de la CNIL ; la version globale est exploitée par Binance Holdings Limited. La base de données utilisateur est techniquement isolée ; les comptes ne peuvent pas être fusionnés entre entités. En cas de migration depuis la version globale, une copie conforme est transférée ; les deux entités conservent chacune leur exemplaire jusqu'à l'expiration du délai légal.

Q4 : Un faux site a déjà récupéré mes pièces ; comment limiter les dégâts ?

Trois actions immédiates : 1) déclaration à la gendarmerie pour laisser une trace utile en cas d'usurpation ultérieure ; 2) activer les alertes d'identité sur les plateformes de vérification ad hoc ; 3) relancer de vous-même une KYC Binance avec un code anti-phishing — si l'attaquant essaie d'utiliser votre pièce ailleurs sur Binance, le système déclenchera une alerte de similarité.

Q5 : KYC via l'application ou via le navigateur : y a-t-il une vraie différence de confidentialité ?

Oui. L'application utilise du certificate pinning et empêche l'interception durant le transport ; le navigateur ne dispose que de HSTS, contournable dans certains environnements de proxy d'entreprise. L'application obtient les permissions caméra au niveau système minimal ; un navigateur exige un accès complet, qu'une extension malveillante peut exploiter. Au bilan, l'application présente une surface plus étroite.

Q6 : Le code anti-phishing protège-t-il les données KYC ?

Pas directement ; il protège l'authentification des e-mails. Mais c'est un signal complémentaire : un e-mail « compléments KYC demandés » sans votre code anti-phishing est presque à coup sûr frauduleux, ce qui vous évite de cliquer sur un lien et de téléverser votre pièce sur un clone. L'activation conjointe du code anti-phishing, de la 2FA et de la liste blanche de retrait couvre les couches données et actifs.

Pour paramétrer la sécurité avant le téléversement, retournez dans la navigation par catégories et consultez « Points clés de la sécurité du compte » et « Identification des sites de phishing ».