L’utilisation des caractéristiques biométriques d’une personne est surveillée de près par la CNIL. Mais face aux enjeux d’une société qui se digitalise, la Commission a autorisé neuf établissements bancaires à expérimenter des dispositifs de reconnaissance par la voix.
La CNIL a, depuis le 29 mai 2017, autorisé neuf établissements bancaires à mettre en œuvre, à titre expérimental, un dispositif d’authentification de clients par reconnaissance vocale afin de pouvoir évaluer l’intérêt du public pour ces services.
Qui dit « reconnaissance vocale » dit données personnelles
Pour rappel, avant 2016, la CNIL s’appuyait sur la distinction entre les
caractéristiques biométriques dites « à traces » (empreintes de doigts laissés sur un objet) et « sans traces » (le réseau sanguin dans la paume d’une main). Dorénavant, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes et la distinction se fonde uniquement sur le type de stockage.
Depuis le 30 juin 2016, la CNIL distingue les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (stockage des données localement) de ceux qui ne la garantissent pas (le cloud par exemple).
Concilier évolutions techniques et limitation des risques pour la vie privée.
L’objectif de l’expérience pilote de ces établissements bancaires est de sécuriser les opérations bancaires à distance de leurs clients tout en leur offrant une solution d’authentification plus confortable et plus rapide.
Les exigences de la CNIL en matière d’expérimentation sont bien respectées, puisque la personne concernée donne son consentement préalable ; cette expérience est à durée limitée dans un périmètre restreint et la confidentialité des données est garantie.
Ainsi, les neuf établissements bancaires ont été autorisés à mettre en œuvre, à titre expérimental, ce dispositif d’authentification par reconnaissance vocale pendant un an et sur un groupe de personnes déterminées (des clients collaborateurs pour certains, des clients exerçant une profession libérale pour d’autres). En pratique, leurs clients pourront s’authentifier par leur voix, en prononçant une phrase « mot de passe », pour accéder à leur compte bancaire, en ligne ou par téléphone.
Afin de protéger au mieux ces données personnelles sensibles, il est nécessaire de stocker ces données biométriques :
– sur un support uniquement détenu par la seule personne concernée ;
– sur une base de données sous une forme inexploitable et illisible.
En outre, en vue de l’entrée en vigueur du Règlement général relatif à la protection des données (RGPD), les prérequis de l’étude d’impact relative à la protection des données et la vie privée et les concepts de protection des données dès la conception du produit et par défaut (« privacy by design » et « privacy by default ») devront donc y être intégrés préalablement.
D’autres usages en test
Les données biométriques ont ainsi un réel enjeu dans notre société digitale qui mobilise les acteurs en dehors de cette expérimentation.
Ainsi, depuis l’été 2016, la Banque Postale a mis en place une application mobile intitulée « Talk To Pay », permettant aux internautes de préremplir les formulaires de paiement par un module qui authentifie leur voix. Ainsi, les clients sont appelés sur leur smartphone, prononce une phrase « mot de passe » dictée par la boîte vocale et les champs relatifs à la carte de paiement sur le site du e-commerçant sont automatiquement remplis.
L’authentification multi-biométrique est aussi possible pour smartphone, tablette et PC. Elle a été créée en 2014 par la société française United Biometrics : cette dernière met à disposition de ses clients une authentification forte à base de plusieurs biométries (visage, voix, empreinte, iris…) dont des biométries comportementales (la coordination des mains, la pression du doigt, le tremblement, le mouvement des yeux), afin de protéger les paiements et autres transactions contre les attaques extérieures de façon plus dynamique.
