La Cnil a autorisé la mise en œuvre de dispositifs d’authentification des clients par reconnaissance vocale.
Des autorisations ont été accordées à titre d’expérimentation à des établissements bancaires qui souhaitaient renforcer l’authentification de leurs clients dans deux situations :
- lorsque le client procède à un paiement en ligne (1) ;
- lorsque le client se connecte en ligne à son compte client (2) et (11).
Le renforcement de l’authentification
Ce nouveau dispositif est présenté par les établissements bancaires comme leur permettant de se prémunir contre la fraude, puisque le dispositif se fonde, à la fois, sur « l’authentification biométrique des clients » associée « à la saisie de leur identifiant » (3).
L’objectif est de pallier les lacunes que peuvent générer les mots de passe notamment en cas d’oubli, ou de perte du mot de passe par le client, en prévoyant une authentification sécurisée et simplifiée.
Ainsi, cette sécurisation passe, en particulier, par une authentification forte du client, qui consiste en :
« Une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (4).
L’authentification utilisée par les établissements bancaires repose ici principalement sur :
- la catégorie « inhérence », en d’autres termes la voix de l’utilisateur ;
- la catégorie « possession », le code que le client saisit sur son téléphone.
En pratique, comment ça marche ?
Deux cas de figure se présentent pour utiliser la reconnaissance vocale :
- lorsque le client doit procéder au paiement sur un site de vente en ligne. Dans cette situation, le client reçoit un appel automatique sur son téléphone mobile et prononce alors une phrase d’authentification, déclenchant en conséquence, le remplissage automatique du formulaire de paiement par carte bancaire (le numéro de compte, le nom du client, la date de validité, et le cryptogramme composé des trois chiffres) ;
- lorsque le client accède à son compte personnel bancaire. Le client reçoit un code d’activation qu’il saisit et prononce une phrase d’authentification.
Quelles sont les formalités préalables ?
Les données issues d’un dispositif de reconnaissance vocale sont des données biométriques qui se définissent comme :
« Des caractéristiques physiques ou biologiques permettant d’identifier une personne (ADN, contour de la main, empreintes digitales, etc.) » (5).
Les traitements de données biométriques sont soumis à une demande d’autorisation de la part du responsable de traitement à la Cnil (6).
Le règlement européen sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 et c’est donc dès à présent que les responsables de traitement doivent envisager les changements induits par cette nouvelle réglementation.
Concernant la définition des données biométriques, la différence se note dans la précision de la définition, le concept de donnée biométrique étant défini comme :
« Des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (7).
Le RGPD encadre davantage le cadre juridique applicable à ces données et interdit, par principe, le traitement « des données biométriques aux fins d’identifier une personne physique de manière unique ».
Cette interdiction ne s’applique pas si le consentement de la personne concernée a été recueilli (8), comme les établissements bancaires le font préalablement à toute mise en œuvre de traitement relatif à la reconnaissance vocale.
Le RGPD remet en cause le système des formalités préalables auprès des autorités de protection des données, puisqu’à partir du 25 mai 2018, les responsables de traitements en seront dispensés.
En revanche, il prévoit l’instauration d’un registre des catégories de traitement mis en œuvre qui doit être tenu à la fois par le responsable du traitement et par le sous-traitant (9).
En contrepartie de cette dispense des formalités déclaratives préalables, l’établissement bancaire devra en amont réaliser une analyse d’impact (10) qui consistera en une :
- description des opérations de traitement envisagées, de ses finalités et de l’intérêt légitime poursuivi ;
- évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- évaluation des risques pour les droits et libertés des personnes concernées ;
- description des mesures envisagées pour faire face aux risques (y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec la réglementation).
Avertissement de la Cnil
La Cnil considère que ce type d’expérimentation, pour ce qui concerne l’authentification par reconnaissance vocale sur les services de banque à distance, constitue « une opportunité de tester le niveau global de risques en matière de sécurité et de confidentialité des données » (3).
Elle a considéré que dans le cadre des expérimentations qui lui ont été présentée. Toutefois, les mesures de sécurité étaient suffisantes, toutefois, elle rappelle que « cette obligation [de sécurité] nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques » (11).
On peut donc penser qu’en cas de pérennisation du projet, la Cnil se montrera particulièrement vigilante sur les mesures de sécurité prévues pour garantir la confidentialité et l’intégrité des données issues du dispositif de reconnaissance vocale. C’est, en tout cas, ce qu’elle laisse entendre lorsqu’elle met en garde les établissements bancaires contre le fait que « les conditions dans lesquelles ces expérimentations sont autorisées ne présage nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif » (11).
Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom
(1) Délib. Cnil 2016-037 du 18-2-2016 autorisant La Banque Postale à mettre en œuvre un système d’authentification des titulaires de cartes bancaires par reconnaissance vocale.
(2) Délib. Cnil 2017-133 du 27-4-2017 autorisant le Crédit du Nord à mettre en œuvre à titre expérimental un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur le serveur de son centre d’appels.
Délib. Cnil 2017-134 du 27-4-2017 autorisant la Banque Rhône-Alpes à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels
Délib. Cnil 2017-135 du 27-4-2017 autorisant la Banque Courtois à mettre en œuvre à titre expérimental un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-136 du 27-4-2017 autorisant la Banque Tarneaud à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-137 du 27-4-2017 autorisant la Banque Nuger à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels
Délib. Cnil 2017-138 du 27-4-2017 autorisant la Banque Kolb à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-139 du 27-4-2017 autorisant la Banque Laydernier à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-140 du 27-4-2017 autorisant la Société Marseillaise de Crédit à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
(3) « La CNIL autorise l’expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires », Cnil.fr 29-5-2017.
(4) Règl. UE 910-2014 du 23-7-2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
(5) Données biométriques : définition disponible sur le site de la Cnil.
(6) Loi informatique et libertés, art. 25.
(7) Règl. UE 2016/679 du 27-4- 2016, art. 4, 14°.
(8) Règl. UE 2016/679 du 27-4- 2016, art. 9, 1°.
(9) Règl. UE 2016/679 du 27-4- 2016, art. 30.
(10) Règl. UE 2016/679 du 27-4- 2016, art. 35.
(11) Délib. Cnil 2017-141 du 27-4-2017 autorisant la société BPCE à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients par reconnaissance vocale sur les services de banque à distance.