Le paiement biométrique s’installe en France mais comporte des risques
Avant la pandémie, le paiement sans contact en France ne représentait que 3 % des règlements par carte. En 2020, la moitié des paiements par carte ont été effectués avec le sans contact, mentionne Harold Li, de ExpressVPN.
La pandémie a accéléré l’usage du paiement sans contact en France. Avant celle-ci, ce mode de paiement ne représentait que 3% des règlements par carte(1). Avec la hausse du plafond de paiement, passé de 30 à 50 euros, ce sont, au total en 2020, la moitié des paiements par carte qui ont été effectués avec le sans contact.
Au même moment, les banques comme BNP Paribas commencent à proposer des cartes de paiements biométriques à leurs consommateurs, pour accélérer l’adoption de cette nouvelle technologie.
Cela peut être considéré comme la première étape vers la mise en place d'autres moyens de paiement biométriques, telles que la reconnaissance faciale. C'est déjà une réalité en Chine depuis plusieurs années, où par exemple, les clients peuvent utiliser la technologie de reconnaissance faciale pour payer leurs repas dans certains fast-foods.
Que se passe-t-il lorsque les données biométriques sont corrompues ?
Les Français sont très attachés à l’utilisation de la carte bancaire : ils font d’ailleurs partie des consommateurs européens qui plébiscitent le plus ce moyen de paiement. Avec l’ajout des options biométriques, au lieu d’un code à quatre chiffres, l’introduction de la biométrie à travers la carte bancaire est une bonne entrée en la matière pour les consommateurs français. En effet, avec des options d’identification plus difficiles à pirater qu’un mot de passe classique, c’est la combinaison entre la sécurité et la commodité de la carte bleue qui permet de faire rentrer ce nouveau moyen de paiement dans les mœurs.
Aujourd’hui, plus de 85%(2) des consommateurs perçoivent l’authentification via l’empreinte digitale et le scanner rétinien comme les moyens d'authentification les plus fiables, suivis par le mot de passe classique et les technologies biométriques comme la reconnaissance faciale et la reconnaissance vasculaire.
Dans le cas d’une cyberattaque classique ou d’une importante brèche de données, un changement de mot de passe et d’autres données de connexion peut contribuer à freiner la fuite d’informations confidentielles. Les hackeurs peuvent avoir eu accès à des comptes pendant un temps, mais les violations futures peuvent être stoppées.
Cependant, dans le cas de la biométrie, les choses ne sont pas aussi simples. Les empreintes digitales tout comme les caractéristiques d’un visage sont uniques et il est donc impossible de les échanger contre une autre identité. Dans l’état actuel des choses, les risques liés au vol ou à l’utilisation abusive d’informations biométriques sont élevés. Ce n’est donc qu’une question de temps avant que la criminalité à l’encontre de la biométrie n’augmente, à mesure que l’utilisation de cette technologie se démocratise.
Aadhar, la base de données centrale indienne qui répertorie les identifiants biométriques tels que les empreintes digitales, a été touchée par une brèche de données en 2018. Une attaque similaire a également visé Nadra, la base de données centrale du Pakistan, qui possède également des marqueurs biométriques sur les citoyens. Bien heureusement, ces bases de données ne contiennent pas encore d’informations biométriques spécifiquement liées aux paiements.
Comment le législatif peut-il arbitrer l’utilisation de la biométrie ?
En février 2020, l’UE a institué une réglementation autour de la reconnaissance faciale et de l’intelligence artificielle, dans le but de créer un marché unique des données à travers l’Europe. Avec les règles mises en place au niveau de la protection de la vie privée prévus par le RGPD, il est très probable que l’Europe exige que les entreprises travaillant sur les paiements biométriques adhèrent à des normes et à des processus unifiés.
Cela ne sera vraisemblablement pas bien accueilli par des entreprises comme Amazon ou Facebook. Elles chercheront, à coup sûr, à avancer des arguments tels que l’importance de la protection de leur propriété intellectuelle, et tenteront de s’opposer directement à toutes les tentatives d’intégration d’un cadre normalisé.
Une autre solution viable serait l’introduction de la biométrie « intraçable ».
Il s’agit, à travers le chiffrement, de transformer de manière irréversible des données biométriques en des données ne contenant aucune information identifiable sur ces mêmes données biométriques qui ont été fournies au préalable. Cela rend la donnée biométrique impossible à retracer et permet de sécuriser l’accès à des données sensibles.
C’est le cas de NEXUS, un système qui s’appuie sur la biométrie et qui vise à accélérer le passage des personnes, considérées à faible risque, aux frontières entre le Canada et les États-Unis.
Les législateurs doivent s’imposer et faire entendre leur voix. Il existe quelques lois et textes ici et là, tel que celui de la CNIL de 2019 sur les obligations des organismes qui souhaitent se doter de dispositifs biométriques pour contrôler ce qu’il se passe sur leur lieu de travail. Cependant, un effort plus grand de la France et de l’UE est nécessaire pour garantir l’intégrité des technologies biométriques.
Les consommateurs doivent également comprendre que toute nouvelle technologie qui offre ce type de commodité peut représenter des risques relatifs à la confidentialité et la sécurité. Les paiements biométriques sont tentants, mais sans garantie d’un respect total de leur intégrité, il est préférable de ne pas utiliser cette technologie en l’état. Et surtout, pour protéger son anonymat, le paiement liquide reste la meilleure solution.
1 Source : l'Observatoire de la sécurité des moyens de paiement (OSMP)
2 Etude Visa sur les paiements biométriques, septembre 2020
Source : https://www.zdnet.fr