Home / Actualités / La reconnaissance faciale au service des opérations...

La reconnaissance faciale au service des opérations bancaires

Point sur l’essor des dispositifs biométriques dans les services bancaires

26/09/2019

Si la reconnaissance faciale semble être devenue un mode d’authentification prisé des organismes bancaires, sa simplicité d’utilisation et sa fiabilité ne doivent pas faire oublier pour autant le caractère sensible des données biométriques recueillies et les risques inhérents à leur conservation.

En 2012, dans son rapport intitulé « Vie privée à l’horizon 2020 », la CNIL déclarait que le rapprochement des technologies et du corps humain serait peut-être l’enjeu majeur pour 2020. Elle s’interrogeait notamment sur l’avenir de la reconnaissance faciale, qui transforme l’image en code, et finalement en un identifiant[1].

Deux ans plus tard, la Banque centrale européenne recommandait aux organismes bancaires de mettre en place des dispositifs d’authentification biométrique de leurs clients[2] afin de lutter contre l’augmentation des transactions frauduleuses.

Les dispositifs biométriques, contrairement à un simple mot de passe ou à un badge par exemple, reposent, en effet, sur des spécificités inhérentes à un individu, uniques, permanentes et dont il ne peut s’affranchir, telles que ses caractéristiques physiques, biologiques, voire comportementales[3]. Outre leur simplicité d’utilisation, cela en fait donc, en théorie, des mécanismes d’authentification extrêmement fiables[4].

L’essor des dispositifs biométriques dans les services bancaires

Forte de ces considérations, et afin de tester l’appétence de la société actuelle pour les dispositifs biométriques, la CNIL a autorisé, en 2017, neuf établissements bancaires à expérimenter l’authentification de leurs clients par le biais de la reconnaissance vocale[5].

L’objectif de ce dispositif était de sécuriser les opérations à distance de gestion de comptes tout en offrant aux clients une solution d’authentification plus confortable et moins chronophage que la saisie d’un mot de passe ou la réponse à des questions dites de sécurité.

Quelques mois plus tard, la Société générale est devenue la première banque française à permettre à ses clients d’ouvrir un compte à distance grâce à l’authentification faciale[6].

Ce dispositif repose, d’abord, sur la comparaison entre un « selfie dynamique » réalisé par le client lors du parcours de souscription et la photographie figurant sur la pièce d’identité précédemment communiquée à la banque, puis sur la comparaison entre cette photo d’identité et les photographies issues de l’entretien vidéo du client avec le conseiller de la banque. De ces deux comparaisons découlent deux scores de probabilité de correspondance (0 ou 1). L’ouverture de compte est finalement validée par le conseiller bancaire en fonction des scores obtenus, de la vérification des pièces et de son impression générale liée à l’entretien vidéo.

En 2018, c’était au tour de la banque Boursorama de recevoir l’autorisation de la CNIL pour proposer à ses clients une application téléchargeable à usage unique leur permettant d’ouvrir un compte à distance grâce à un dispositif de reconnaissance faciale[7].

Contrairement au processus mis en place par la Société générale, l’ouverture du compte et l’authentification du client sont ici entièrement automatisées, permettant ainsi l’ouverture d’un compte en moins de 24 heures.

A l’aube de 2020, les prévisions de la CNIL semblent ainsi s’être réalisées, l’usage croissant des applications bancaires en ligne représentant une formidable opportunité pour les dispositifs de reconnaissance faciale[8].

La reconnaissance faciale et le droit des données personnelles

Au-delà de la question de la fiabilité d’un tel processus (risque de faux positifs comme de faux négatifs), la CNIL semble redouter que les personnes morales ayant recours à ces dispositifs stockent les données personnelles des utilisateurs, se constituant ainsi une impressionnante base de données biométriques.

Il ne faut pas oublier, en effet, que les données biométriques, au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses, revêtent un caractère sensible[9].

Le traitement de telles données est donc interdit par principe. Les entreprises souhaitant avoir recours aux systèmes d’authentification biométrique devront justifier, par une étude d’impact sur la vie privée, d’un véritable besoin spécifique (authentification pour permettre l’accès à un lieu, un service ou une application)[10].

Le consentement de chacun des utilisateurs devant être « libre, spécifique et éclairé »[11], cela implique, en outre, que les intéressés aient au préalable bénéficié d’une information individuelle renforcée, que leur accord porte spécifiquement sur l’authentification par reconnaissance faciale et qu’ils aient accès à un dispositif alternatif, sans contrainte supplémentaire, s’ils ne souhaitent pas recourir au dispositif biométrique.

Enfin, le responsable de traitement doit maintenir les données biométriques sous le contrôle exclusif de la personne concernée. En pratique, soit le support de stockage des données biométriques est individuel et détenu par l’utilisateur lui-même (badge, appareil mobile), sans qu’aucune copie ne puisse être conservée par le responsable de traitement, soit les données biométriques sont stockées dans une base de données comprenant l’ensemble des données des utilisateurs, sous une forme empêchant leur exploitation sans l’intervention de l’utilisateur concerné (données cryptées ne pouvant être déchiffrées que par un mot de passe détenu par l’utilisateur, par exemple)[12]

L’enjeu est d’éviter qu’une faille dans un système de protection d’une base de données biométriques n’entraîne l’exposition de millions d’informations de reconnaissance faciale et autres données personnelles, comme cela s’est récemment passé en Grande-Bretagne[13]. Contrairement à un simple mot de passe, une fois les données biométriques divulguées, il est, impossible à l’individu d’en changer.

Si la CNIL a approuvé la mise en place de dispositifs biométriques afin de faciliter l’ouverture de compte à distance, c’est notamment parce que la Société générale et Boursorama ne conservent ni les autoportraits, ni les photographies provenant de la pièce d’identité, ni les données biométriques à l’issue de la procédure d’authentification du client. Seule l’information sur la validité de l’authentification (le score de 0 ou 1) est conservée pour permettre la poursuite du parcours de souscription.

L’intérêt de l’Union européenne pour la reconnaissance faciale

Afin de contrecarrer les problématiques liées au stockage des données biométriques, l’Union européenne a financé en 2015 le projet FACCESS. Celui-ci a permis l’élaboration d’une nouvelle technologie de reconnaissance faciale extrayant les points principaux du visage, les convertissant en un modèle numérique semblable à un très long numéro et ne conservant par la suite que ce numéro crypté[14].

Le projet FACCESS a également contribué au développement d’un logiciel de « détecteur de vie » visant à augmenter la fiabilité du dispositif d’authentification. Cette technologie demande au client d’effectuer un mouvement particulier (cligner des yeux, secouer la tête, etc.) et permet de détecter si la personne se trouvant devant l’appareil photo est réelle ou s’il s’agit d’une simple photo ou vidéo.

Ce système est notamment utilisé par la CaixaBank en Espagne qui est devenue, le 14 février 2019, la première banque au monde à proposer à ses clients l’utilisation de distributeurs de billets à reconnaissance faciale[15]


[1] Dominique Cardon, in « Vie privée à l’horizon 2020 », Cahiers IP de la CNIL, 2012.

[2] BCE, Final recommendations for the security of payment account access services following the public consultation, mai 2014.

[3] CNIL, Questions-réponses sur le règlement type biométrie, 2019.

[4] Le dispositif de reconnaissance faciale FACCESS financé par l’Union européenne fait ainsi état, par exemple, d’un taux de fausses acceptations de 0,002 % et d’un taux de faux rejets estimé entre 2 % et zéro. 

[5] Communiqué : « La CNIL autorise l’expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires », 29 mai 2017.

[6]Délibération n° 2017-251 du 14 septembre 2017 autorisant la Société Générale à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

[7]Délibération n° 2018-051 du 15 février 2018 autorisant Boursorama à mettre en œuvre un système d’identification par reconnaissance faciale des prospects lors d’une entrée en relation à distance.

[8] Selon une étude menée par Ipsos pour la Société générale, la biométrie faciale apparaît comme une innovation utile à un Français sur deux (51 %), devant le paiement sans contact par mobile (46 %) et la commande vocale (44 %).

[9] Conformément à l’article 9§1 du Règlement général sur la protection des données (RGPD).

[10] « Biométrie à disposition de particuliers : quels sont les principes à respecter ? », CNIL, 10 avril 2018.

[11] Article 9§2.a du RGPD.

[12] « Biométrie à disposition des particuliers », précité note 10.

[13] « 27,8 millions de données touchées par une faille de sécurité chez un spécialiste du contrôle d'accès biométrique », L’Usine digitale, 16 août 2019.

[14] Sur le projet FACCESS, voir le site CORDIS de la Commission européenne : « Sécuriser vos opérations bancaires en un clin d’œil ».

[15] « La reconnaissance faciale pour retirer de l'argent, première mondiale signée CaixaBank », La Tribune, 15 février 2019

Article paru dans Option Finance Innovation le 16 septembre 2019


Actualité du Droit de la propriété intellectuelle :

Cet article a été publié dans notre Lettre Propriétés Intellectuelles d'octobre 2019. Découvrez les autres articles de cette lettre.

lettre droit de la propriété intellectuelle 800x300

La Protection des données personnelles au sein de notre cabinet d'avocats :

Que vous soyez un éditeur de plates-formes électroniques, de logiciels, de jeux en ligne ou de sites Internet, une entreprise nationale ou multinationale, nos avocats spécialistes du droit des données personnelles sont à même d’intervenir sur l’ensemble de vos problématiques liées à la protection, la collecte et la gestion des données personnelles.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

protection des données personnelles 330x220

Expertise : Protection des données personnelles

nous contacter 330x220

Nous contacter

Avocats

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Océane Chambrion
Avocat
Paris