Les techniques de biométrie sont de plus en plus utilisées dans le monde comme moyens de sécurisation de transactions.
La biométrie s’intègre parfois dans les cartes bancaires (empreinte digitale), dans les distributeurs de billets (reconnaissance faciale) ou encore peut être utilisée en lien avec un service de paiement mobile ou par internet, comme la Cnil vient pour la première fois de l’autoriser en France.
En effet, la loi Informatique et libertés soumet à autorisation de la Cnil les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes (1).
Phase expérimentale
Au cours des dernières années, la Cnil a été saisie de plusieurs autorisations portant sur des systèmes d’authentification des auteurs de transactions bancaires au moyen de la biométrie, notamment vocale.
Jusqu’en février 2016, les autorisations délivrées par la Cnil ne portaient toutefois que sur des traitements mis en œuvre à titre expérimental. La durée de ces expérimentations variait entre 3 et 15 mois et ces dernières pouvaient concerner jusqu’à plusieurs milliers d’individus, salariés et/ou clients de la société responsable du traitement.
D’une manière générale, la phase d’expérimentation permet au responsable de traitement d’évaluer :
- la faisabilité du traitement ;
- la qualité de la technique de biométrie vocale utilisée (ex : mesure des faux positifs et faux négatifs) ;
- la facilité d’utilisation du service envisagé (ex : ergonomie du service, temps moyen d’authentification).
Phase de généralisation
Les résultats des expérimentations menées par une banque se sont visiblement révélés positifs puisque la Cnil vient de l’autoriser à généraliser un système d’authentification des porteurs de cartes bancaires par reconnaissance vocale (2).
Une phase d’expérimentation d’une durée totale de 2 ans a en effet permis à cette banque de confirmer l’appétence du public pour ce type de service (fluidité des parcours, sentiment de sécurité), en relevant un taux de satisfaction de 86%.
Une authentification forte
La Commission se montre ainsi favorable à l’utilisation de la biométrie dans le cadre de la sécurisation du paiement à distance. Elle observe à ce titre que la mise en place d’une authentification forte des clients souhaitant régler des transactions en ligne, reposant sur l’utilisation de plusieurs éléments d’authentification, répond à un phénomène de fraude aux paiements à distance en constante augmentation.
En l’espèce, la méthode d’authentification choisie s’appuie sur deux éléments d’authentification : la réception d’un appel sur un téléphone préalablement enrôlé (« ce que je possède ») et la reconnaissance de la voix (« ce que je suis ») (3). Ainsi, le dispositif biométrique n’a pas vocation à fournir un moyen d’authentification autonome. Il vient renforcer un dispositif existant qui s’appuie sur la possession d’un objet, à savoir le téléphone portable de la personne concernée.
Une méthode d’authentification proposée et non imposée
Conformément à l’article 7 de la loi Informatique et libertés (4), le traitement de reconnaissance vocale autorisé par la Cnil s’appuie sur le consentement spécifique, libre et éclairé des personnes concernées.
La méthode d’authentification est ainsi proposée aux clients de la banque en tant qu’alternative à l’authentification par saisie d’un code à usage unique, le client pouvant à tout moment revenir sur son choix.
Technique biométrique utilisée
La technique de reconnaissance vocale utilisée se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix non réversible est alors constitué.
En effet, le modèle ne constitue pas un enregistrement de la voix de la personne concernée. Il reproduit une distribution de probabilités de plusieurs caractéristiques de la voix du client. Les caractéristiques biométriques du client ne pourront donc pas être reconstituées à partir du modèle.
Etude d’impact
Dans les différentes autorisations expérimentales délivrées par la Cnil, la Commission a exigé de chaque responsable de traitement qu’il communique un bilan des modalités de fonctionnement et d’utilisation du dispositif au terme de la phase d’expérimentation.
Notamment, une présentation des enjeux spécifiques relatifs à la protection des données doit être envoyée à la Cnil, incluant les risques identifiés et les mesures adoptées pour les limiter, ainsi qu’une synthèse relative au respect des dispositions de la loi Informatique et libertés.
La banque dont le traitement vient d’être autorisé a ainsi réalisé une étude d’impact à l’issue de ses expérimentations. La Cnil a alors pu relever que « les mesures techniques adoptées [avaient] permis de réduire à un niveau de vraisemblance et de gravité faible les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».
Cette démarche apparaît en accord avec l’approche par les risques proposée au niveau européen dans la proposition de règlement général sur la protection des données. Elle permet notamment d’anticiper l’obligation pour les responsables de traitement de réaliser des analyses d’impact relatives à la protection des données, en particulier en cas de traitement à grande échelle de données biométriques.
Pour conclure, les sociétés souhaitant mettre en place des systèmes d’authentification d’auteurs de transactions bancaires au moyen de la biométrie sont invitées à réaliser des analyses de l’impact de leur traitement sur la protection des données et à déposer auprès de la Cnil un dossier de demande d’autorisation.
Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés
(1) Loi 78-17 du 6-1-1978, art. 25-I-8°.
(2) Cnil, Délib. 2016-037 du 18-2-2016.
(3) Une troisième catégorie regroupe les éléments que la personne connaît, tels que par exemple un mot de passe.
(4) Loi 78-17 du 6-1-1978, art. 7.