Payer avec la main c’est désormais possible grâce à l’implantation sous la peau d’une puce électronique.
C’est ce qu’a proposé une entreprise américaine à ses salariés notamment pour payer les repas que ces derniers prennent habituellement à la cafeteria.
L’implantation d’une puce RFID (Radio Frequency identification) dans la main n’a rien de nouveau puisque de nombreuses sociétés les utilisent déjà afin de remplacer les badges d’accès des salariés. Ce qui change ici c’est l’utilisation pour laquelle la puce est implantée. Jusqu’à présent ce type de puces était très rarement implanté sous la peau d’une personne à des fins de paiement.
Payer avec la main : comment cela fonctionne-t-il ?
La puce utilise la technologie RFID et se caractérise par « l’utilisation d’ondes électromagnétiques rayonnantes ou d’un couplage de champ réactif dans une portion de radiofréquences du spectre pour communiquer vers ou à partir d’une étiquette selon différents schémas de modulation et d’encodage afin de lire, de façon univoque, l’identité d’une étiquette de radiofréquence ou d’autres données stockées sur celle-ci » (1).
Le simple effleurement de la main sur le terminal de paiement va permettre d’effectuer le paiement. Cette technologie est la même que celle utilisée pour les moyens de paiement sans contact traditionnels, telle que la carte de paiement sans contact ou le paiement cashless (à ce sujet, voir notre article (2)). La main devient un moyen de paiement comme un autre.
Payer avec la main : quels sont les risques en matière bancaire ?
Dès lors, les problématiques qui se posent sont en partie identiques à celles que les autres moyens de paiement sans contact rencontrent. En effet, l’implantation d’une puce utilisant la technologie RFID suscite notamment des questions sur la sécurité des données bancaires.
La Cnil s’était déjà penchée sur la question du niveau de protection des données personnelles de ces nouveaux moyens de paiement.
Elle avait, à cette occasion, relevé une insuffisance de sécurité du fait de la possibilité d’intercepter les échanges de données personnelles entre une carte bancaire dotée de la technologie NFC et le lecteur à proximité duquel elle est passée (3).
La Cnil recommande que le nom du porteur ne soit plus lisible par l’intermédiaire de l’interface sans contact d’une carte bancaire et qu’il ne soit plus possible de lire l’historique des transactions (4).
En effet, le risque de fraude constitue la menace principale pour ce type de moyen de paiement. Afin de réduire au maximum ce risque de fraude, ce type de moyen de paiement est généralement limité aux achats d’un montant de 30 euros. Des plafonds cumulés empêchent également de payer sans contact au-delà d’un certain montant par jour et par mois.
Tandis que la Cnil et la Banque de France recommandent aux utilisateurs de protéger leur moyen de paiement par l’usage d’un étui protecteur qui créé une barrière contre les ondes électromagnétiques, comment appliquer cette recommandation concernant la main ? L’utilisateur devra-t-il se doter de gant protégeant sa puce ? Ces questions demeurent à ce jour sans réponse.
Enfin, en cas de fraude, l’établissement bancaire est tenu au remboursement intégral immédiat pour tous les prélèvements réalisés sans qu’un code confidentiel n’ait été composé et si le titulaire du moyen de paiement ne tarde pas à faire opposition (CMF, art. L.133-20 et L.133-18).
Payer avec la main : quels sont les risques en matière de protection des données à caractère personnel ?
Plus que la technologie RFID elle-même, c’est le maillage de toutes les informations contenues dans les puces qui posent problème aux défenseurs des libertés individuelles. Ce maillage de données est d’autant plus problématique qu’il est lié à la personne humaine (puisqu’ implantée sous sa peau). La puce devient indissociable de la personne et ne pourra pas être retirée par elle, au moment où elle le souhaitera.
Cet aspect attentatoire à la vie privée a retenu l’attention des autorités puisque la Commission européenne s’est interrogée sur la manière de concilier le développement de la technologie RFID avec la protection des données à caractère personnel et de la vie privée.
Les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie (5).
Elle propose en outre la mise en place de mécanismes de désactivation des puces RFID dans certaines situations, par exemple à la sortie des magasins, et avec le libre choix des personnes. Cependant, comment faire pour désactiver une puce RFID implantée sous la peau ?
Payer avec la main : l’après RGPD ?
Le développement de la technologie du « payer avec la main » va susciter de nombreuses questions avec l’application, à partir du 25 mai 2018, du règlement n°2016-679 sur la protection des données personnelles (« RGPD »), notamment au regard du principe d’accountability ou du principe de protection des données dès la conception et de la « sécurité par défaut ».
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeur informatique et télécom
(1) Recommandation de la Commission du 12 mai 2009 sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radiofréquence.
(2) F. Forster, Les problématiques juridiques relatives au paiement cashless, Alain-Bensoussan.com 25-10-2016.
(3) F. Forster, Paiement mobile : la Cnil s’intéresse aux cartes de paiement sans contact, Alain-Bensoussan.com 17-7-2013.
(4) Carte de paiement sans contact : mode d’emploi, Cnil 19-5-2015.
(5) Ch. Guillemin, Un logo explicite sur les produits à étiquette RFID d’ici 3 ans ?, ZDNer.fr 25-2-2008.