Le PDG d’Airwallex réfute les allégations de fuite de données ! Les données des clients américains n’ont pas été transmises à la Chine

L’investisseur Keith Rabois accuse Airwallex de présenter un risque de fuite de données en raison de la taille de son équipe d’ingénierie en Chine et de la participation d’actionnaires chinois. Jack Zhang, PDG et cofondateur d’Airwallex, dément ces accusations et affirme que la société ne transmettra jamais aucune donnée client américaine vers la Chine. Il précise que les données des clients américains ne sont stockées qu’aux États-Unis, aux Pays-Bas et à Singapour, et que les employés en Chine continentale et à Hong Kong n’ont aucun accès à ces informations.

L’accusation de Keith Rabois sur les réseaux sociaux déclenche la controverse

Avant le démenti public de Zhang, le célèbre investisseur Keith Rabois avait lancé sur X une série d’accusations graves contre Airwallex. Selon Rabois, la législation chinoise impose aux entreprises et citoyens de coopérer avec le renseignement national, ce qui créerait un risque de sécurité pour toute société liée à la Chine. Il souligne notamment la taille importante de l’équipe d’ingénierie d’Airwallex en Chine, ce qui entraînerait inévitablement un risque de fuite de données.

L’argument de Rabois s’appuie sur les dispositions de la « Loi nationale sur le renseignement » de la Chine, qui stipule que « toute organisation et tout citoyen doivent soutenir, assister et coopérer légalement au travail des services de renseignement ». Selon lui, même si les données sont stockées sur des serveurs américains, la loi chinoise pourrait contraindre les ingénieurs basés en Chine à obtenir ou à faciliter l’accès aux données. De plus, la participation d’actionnaires chinois dans Airwallex constituerait, selon Rabois, un autre facteur de risque majeur.

Ces accusations ont suscité de vifs débats dans les secteurs de la fintech et des crypto-monnaies. Certains posts ont ensuite été supprimés, mais la polémique s’était déjà propagée. Les soutiens d’Airwallex ont répondu, plusieurs internautes mettant en doute les preuves avancées et dénonçant des spéculations. Un cadre dirigeant d’Airwallex a également réagi, affirmant que la société investit en permanence dans l’isolation régionale des données et applique des mesures allant au-delà des exigences réglementaires.

Le PDG d’Airwallex détaille l’architecture de stockage des données

Dans sa réponse, Zhang a présenté en détail la structure de stockage des données chez Airwallex. Il a précisé que les données des clients américains ne sont stockées qu’aux États-Unis, aux Pays-Bas et à Singapour. Il a insisté sur le fait que les employés basés en Chine continentale et à Hong Kong n’ont pas accès aux données personnelles (PII) des clients américains. Cette stratégie d’isolation des données constitue un pilier central de la conformité globale d’Airwallex.

Zhang a particulièrement insisté sur la distinction entre la localisation des équipes d’ingénierie et les droits d’accès aux données : « Les talents peuvent être répartis dans le monde entier, mais les droits d’accès aux données ne le sont pas. » Il précise que le lieu de travail des ingénieurs n’a rien à voir avec l’endroit où sont stockées les données des clients, et que l’accès aux données dépend du rôle et des besoins, et non de la localisation du salarié. Ce contrôle d’accès basé sur les rôles (RBAC) est une pratique standard dans les architectures cloud modernes.

Actuellement, Airwallex détient plus de 70 licences dans le monde et est réglementée dans plus de 48 États américains. L’entreprise affirme que ses systèmes juridiques et techniques empêchent tout gouvernement étranger d’accéder sans autorisation aux données américaines. Zhang ajoute qu’Airwallex ne répond pas aux demandes de services de renseignement étrangers pour des données sensibles non locales et respecte les normes fédérales américaines de protection des données transfrontalières.

Les quatre piliers de la protection des données chez Airwallex

Isolation géographique : les données des clients américains ne sont stockées qu’aux États-Unis, aux Pays-Bas et à Singapour

Contrôle d’accès : les droits d’accès aux données sont attribués selon les besoins des rôles et non selon la localisation des employés

Régulation multinationale : détention de licences de services financiers dans plus de 70 juridictions à travers le monde

Refus des demandes étrangères : refus de répondre aux demandes de gouvernements étrangers pour des données sensibles non locales

De plus, l’équipe dirigeante d’Airwallex est répartie entre les États-Unis, l’Europe, Singapour et l’Australie. Zhang précise qu’il réside à Londres et n’a aucune responsabilité opérationnelle en Chine. Cette structure de management décentralisée réduit encore l’influence potentielle d’un seul pays sur la prise de décision de l’entreprise.

Le libellé de la politique de confidentialité suscite de nouvelles interrogations

Cependant, la polémique ne s’est pas apaisée pour autant. Certains utilisateurs ont relevé des formulations ambiguës dans la politique mondiale de confidentialité d’Airwallex. Ce document mentionne que l’entreprise pourrait traiter les données clients dans différents pays, y compris la Chine. Les critiques estiment que cela contredit les déclarations publiques de Zhang et réclament des clarifications supplémentaires.

Cette différence de formulation souligne la complexité des défis de conformité auxquels sont confrontées les fintechs mondiales. Les entreprises doivent couvrir toutes leurs implantations dans leur politique de confidentialité globale, tout en assurant une protection renforcée pour les clients de certains pays comme les États-Unis. La politique mondiale d’Airwallex vise sans doute à couvrir ses divers secteurs d’activité à l’international, mais elle ne distingue pas clairement le traitement spécifique des données des clients américains.

Airwallex n’a pas encore précisé si ces clauses de la politique de confidentialité s’appliquent aux clients américains soumis à une protection fédérale renforcée. La société affirme que les informations personnelles identifiables (PII) des clients américains sont limitées aux régions autorisées, mais l’incohérence entre ces déclarations orales et la politique écrite donne du grain à moudre aux détracteurs.

D’un point de vue juridique, l’ambiguïté dans la politique mondiale de confidentialité vise peut-être à conserver une certaine flexibilité opérationnelle, mais dans le contexte géopolitique actuel, cette ambiguïté peut devenir un fardeau pour l’entreprise. De nombreuses fintechs internationales adoptent désormais des politiques de confidentialité régionales plus précises, distinguant clairement les traitements des données selon les zones géographiques.

Aucune infraction réglementaire mais les inquiétudes de sécurité nationale persistent

À ce jour, aucun organisme de régulation n’a confirmé la moindre infraction de la part d’Airwallex. Le Département du Trésor américain, le FinCEN et d’autres régulateurs concernés n’ont pas annoncé l’ouverture d’une enquête officielle. D’un point de vue légal, Airwallex demeure conforme, détenant les licences nécessaires et faisant l’objet d’audits réguliers.

Pourtant, cet affrontement a placé Airwallex sous les projecteurs en matière de sécurité nationale, notamment à un moment sensible pour les fintechs internationales. Sur fond de rivalité technologique sino-américaine, tout flux transfrontalier de données impliquant la Chine fait l’objet d’une vigilance accrue. L’expérience de sociétés comme TikTok ou Huawei montre que, même sans preuve concrète d’abus des données, la seule suspicion en matière de sécurité nationale peut affecter profondément l’activité d’une entreprise.

À ce stade, Airwallex campe sur ses positions. Zhang affirme que « les faits parlent d’eux-mêmes » et que les polémiques en ligne finiront par révéler la vérité. L’entreprise envisage d’adopter des mesures de transparence supplémentaires, notamment en invitant un audit indépendant tiers de sa structure de protection des données et en publiant des politiques de traitement régionales plus détaillées.